Política de seguridad de la información y ciberseguridad PDF

Summary

This document details a cybersecurity policy for TOTALPACK. It outlines the general guidelines for protecting the confidentiality, integrity, and availability of information within the organization and for third parties. The policy covers identification, protection, detection, response, and recovery aspects of information security.

Full Transcript

Política Seguridad de la Información y Ciberseguridad

1. OBJETO, ALCANCE Y USUARIOS

El propósito de esta política es definir los lineamientos generales de TOTALPACK, en
adelante “la Organización”, “el Negocio”, o “la Empresa”, respecto de la protección de
la confidencialidad, integridad y disponibilidad de la información de la organización y
de terceros.

Esta política se centra en minimizar los riesgos que amenazan a sus activos de
información, a través de fomentar la cultura de seguridad de la información al interior
de la organización.

El alcance de esta política se encuentra definido en el Campo de Aplicación del Manual
del Sistema de Gestión de Seguridad de la Información y Ciberseguridad, en adelante
SGSI.

Esta política es aplicable a los socios, los ejecutivos y empleados de TOTALPACK,
incluyendo a terceros, como proveedores de servicios y subcontratistas.

2. POLÍTICA

2.1 INTRODUCCIÓN

TOTALPACK, en adelante “la Organización” o “la Empresa”, al ser una de las
organizaciones de mayor trayectoria y prestigio del país, trabaja con Activos de
Información de terceros, cuyo correcto tratamiento es parte fundamental de la
operación de la Empresa.

Por lo tanto, la Empresa ha decidido implementar un Sistema de Gestión de Seguridad
de la Información (SGSI) para establecer un proceso integral y transversal enfocado en
la construcción de un ambiente de control de los activos de información de la Empresa.
Lo anterior implica la implementación coherente, operación y mejora continua de
mecanismos que se enfoquen en la identificación, protección, detección, respuesta y
recuperación frente a posibles incidentes que puedan afectar aspectos de los activos de
información como la Confidencialidad, Integridad y Disponibilidad; con las negativas
consecuencias que de ello pudieran derivarse para la Empresa.

Por lo expuesto anteriormente, es parte de la declaración institucional de TOTALPACK
el considerar el proceso de construcción de Seguridad de Información y Ciberseguridad
directamente como un catalizador estratégico de la consecución de los objetivos de
operación.

La presente política define el marco de referencia para la seguridad de la información y
ciberseguridad de TOTALPACK destacando la gestión de riesgos, incidentes y
objetivos de seguridad de la información. También proporciona los principios de
gobernanza y requisitos de seguridad fundamentales que se aplican a la Organización,
incluyendo los siguientes elementos:

 Identificación:
 asegurar la protección de la confidencialidad, la integridad y la disponibilidad
de la información de la Organización y de terceros.
 asegurar la conformidad con la legislación, regulaciones y demás normas
aplicables.
 identificar y clasificar los activos de información en función de su relevancia
y la criticidad de la forma que sea posible.

 Protección:
 establecer e implementar controles para proteger los activos de información
de la Empresa de robo, intrusión, abuso u otras formas de tratamiento
ilícito.
 asegurar la disponibilidad y fiabilidad de los equipamientos, infraestructuras
y sistemas que soportan la actividad de la Empresa.
 promover una cultura de sensibilización y compromiso para la seguridad de
la información y para la ciberseguridad.
 asegurar la protección de datos personales, en los términos previstos en la
legislación que es aplicable al SGSI.

 Detección:
 seguimiento de no conformidades, incidentes, anomalías, eventos de
seguridad de la información y eventos de ciberseguridad y comprender el
impacto potencial de estos eventos.
 seguimiento continuo de redes y sistemas de información para identificar
eventos de ciberseguridad y comprobar la eficacia de las medidas de
protección aplicada.
 implementar y mantener procesos de detección de eventos anómalos.

 Respuesta:
 identificar, contener y solucionar incidentes de seguridad de la información
y, en particular, ciberataques.
 reducir los daños al negocio inherentes a la ocurrencia de incidentes de
seguridad de la información y minimizar el impacto en las partes interesadas
pertinentes.
 asegurar que los incidentes de seguridad de la información son reportados
de conformidad con la legislación vigente y con los procedimientos de la
Empresa.

 Recuperación:
 asegurar que la Empresa tiene la capacidad de continuar prestando sus
servicios, concretamente sus funciones de negocio críticas, si ocurren
incidentes de seguridad de la información graves o ciberataques, en las
 condiciones definidas en la legislación, regulaciones, políticas y
procedimientos específicos aplicables.
 asegurar la redundancia de equipamientos, infraestructuras y sistemas de
información que soportan las funciones de negocio críticas, evitando así
puntos únicos de fallo.
 minimizar los impactos negativos que pueden derivarse de la ocurrencia de
incidentes de seguridad graves, tanto para la reputación de la Organización
como para todas las partes interesadas pertinentes.

 Pruebas:
 evaluar la eficacia de los controles aplicados en TOTALPACK para mitigar
los riesgos identificados.
 asegurar el mantenimiento de la integridad, disponibilidad y confidencialidad
del SGSI, incluido los sistemas de información de TOTALPACK.
 identificar y mitigar las vulnerabilidades existentes en la infraestructura de
la Empresa.
 evaluar la eficacia e identificar puntos de falla y potenciales mejoras de los
procedimientos y planes de respuesta y recuperación a incidentes de
seguridad de la información.

 Mejora continua:
 actualizar políticas, procedimientos, planes y procesos de la Empresa a raíz
de la actualización de buenas prácticas del sector y de las referencias y
normas internacionales de seguridad de la información y de ciberseguridad.
 fomentar estrategias de implementación de oportunidades de mejora,
resultantes de auditorías, pruebas de intrusión u otros proyectos internos o
externos en materia de seguridad de la información o de ciberseguridad.
 definir indicadores que apoyen el modelo de seguridad de la información y
ciberseguridad que se presentarán internamente al Comité de Seguridad de
la información y, cuando corresponda, a otros órganos de TOTALPACK.

2.2 DOCUMENTACIÓN DEL SGSI

La información documentada de seguridad de la información de TOTALPACK se
formaliza como un repositorio documental de siete niveles:

 Nivel 1 – Política: elementos que definen y documentan los principios y
fundamentos obligatorios de la seguridad de la información para el SGSI de
TOTALPACK. Esta documentación es estratégica y promulgada por el Gerente
General.

 Nivel 2 – Manual: elemento que describe y correlaciona los requisitos
normativos y sus controles con la documentación del SGSI de TOTALPACK.
Esta documentación es estratégica y promulgada por el Gerente General.

 Nivel 3 – Estatuto: elementos que definen y documentan las normas internas
de operación de los diferentes comités que operan en TOTALPACK. Esta
documentación es estratégica y promulgada por el Gerente General.

 Nivel 4 – Procedimiento: elementos que definen y documentan los procesos
relativos a la seguridad de la información para el SGSI de TOTALPACK. Esta
documentación es operacional, describe un proceso, incluyendo las
 responsabilidades, secuencia de actividades y registros aplicables, y es
promulgado por el Propietario del Proceso.

 Nivel 5 – Instructivo: elementos que definen y documentan las tareas o
actividades de un proceso relativo a la seguridad de la información para el SGSI
de TOTALPACK. Esta documentación es operacional y es promulgado por el
Propietario del Proceso o quien éste designe.

 Nivel 6 – Formato: elementos que definen y proporciona plantillas (templates)
usadas en procesos relativo a la seguridad de la información para el SGSI de
TOTALPACK. Esta documentación es operacional y es promulgado por el
Propietario del Proceso o quien éste designe.

 Nivel 7 – Registro: esta información documentada proporciona evidencia de la
implementación de la documentación estratégica y operacional, de un proceso
relativo a la seguridad de la información para el SGSI de TOTALPACK. Esta
documentación es emitida por el rol o función descrito en el procedimiento.

2.3 APLICACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y
CIBERSEGURIDAD

Con el fin de asegurar la eficacia y sostenibilidad de las políticas de seguridad de la
información y de ciberseguridad a lo largo del tiempo y su adecuación a los requisitos
de seguridad de TOTALPACK, estas políticas deben estar sujetas a una mejora
continua.

Este proceso de mejora continua debe ser cíclico, basado en el principio Planificar-
Hacer-Verificar-Actuar (PDCA):

 Definición y planificación (Plan): el Comité de Seguridad establece un plan
de acción que incluye: políticas de seguridad de la información para actualizar,
las mejoras necesarias y la fase de comunicación;

 Implementación (Do): el Comité de Seguridad de la Información implementa
el plan de acción definido en la fase anterior. Las mejoras se aplican a las
políticas correspondientes. Las políticas actualizadas se comunican a las
personas relevantes para comentarios y validación.

 Control y seguimiento (Check): esta fase permite identificar impactos en las
actividades operativas. La aplicación de las políticas está controlada.

 Mantenimiento y mejora (Act): Los Propietarios de Procesos identifican las
brechas de seguridad e informan al CISO. Los comentarios se analizan para
identificar las mejoras necesarias y alimentar la próxima fase del Plan.

El SGSI y sus políticas deben revisarse al menos una vez al año. Las solicitudes de
actualizaciones, derivadas de necesidades internas o factores externos, son
centralizadas y validadas por el CISO. Las políticas actualizadas se envían para su
validación del Comité Seguridad.

Todo el ciclo de vida de las políticas debe incluirse en el Sistema de Gestión de
Seguridad de la Información y Ciberseguridad (SGSI), asegurando su implementación.
Los diversos elementos del SGSI deben formalizarse y documentarse para asegurar la
trazabilidad de sus operaciones.

2.4 OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD

Para la definición de los objetivos del SGSI, se deben realizar las siguientes
actividades:

1. identificación de las tareas esenciales que se deben realizar.
2. identificación los activos de información y los recursos claves.
3. determinación de responsables.
4. establecimiento de un período para el cumplimiento de los objetivos.
5. establecimiento de un criterio de evaluación de los resultados.

Cada uno de estos elementos deben ser evaluado a partir de los resultados del análisis
de riesgos que se genera anualmente. En el proceso de determinación de estos
objetivos y de los registros respectivos, es necesario tomar en cuenta los
requerimientos aplicables de la seguridad de la información, siendo estos consistentes
con la presente política. Una vez establecidos los objetivos, éstos deben ser
gestionados para dar cumplimiento de sus metas. Dicho documento tiene periodicidad
anual y es representativo de los objetivos de la seguridad de la información requeridos
por el SGSI.

Los objetivos determinados para el período deben ser comunicados a toda la
Organización. La comunicación se debe realizar a través de correo electrónico u otro
medio que la organización considere apropiado.

2.4.1 Identificación

2.4.1.1 Gestión de Activos

La información gestionada por TOTALPACK, sus procesos e infraestructuras de apoyo,
empleados, terceras partes, equipamientos, documentos, sistemas, aplicaciones y redes
son activos relevantes para la organización. Por ello deben ser apropiadamente
identificados, inventariados y clasificados en función de esa misma importancia y
criticidad, de forma que pueden ser adecuadamente protegidos en todo su ciclo de vida
(que incluye su creación, manipulación, transporte y destrucción).

2.4.1.2 Gestión de Proveedores y Prestadores de Servicios

A la hora de contratar proveedores y prestadores de servicios, TOTALPACK sigue un
proceso definido, que incluye un estudio de mercado a varias entidades a las que les
reconozca competencia y conocimientos técnicos adecuados para la prestación de
servicios o suministro de los productos requeridos.

Debido a la dimensión reducida del número de proveedores y prestadores de servicio de
TOTALPACK, el seguimiento de su desempeño se realiza continuamente. De forma
regular y de conformidad con lo contratado se realiza igualmente la evaluación del
cumplimiento de los niveles de servicio y de los requisitos de seguridad y ciberseguridad
acordados.
2.4.1.3 Gestión del Riesgo

Una de las áreas centrales de la Seguridad de la Información y Continuidad de Negocio
en TOTALPACK es la gestión – identificación, análisis, evaluación y tratamiento –
continua de los riesgos de seguridad de la información, inherentes a su actividad, a los
que se encuentran expuestos los activos de la Organización, que constituye una
herramienta de gestión de la empresa.

La metodología de gestión del riesgo de TOTALPACK implica:
 identificación y documentación de las amenazas internas y externas que puedan
explotar las vulnerabilidades de los activos de TOTALPACK, poniendo en
entredicho la integridad, confidencialidad o disponibilidad de estos.
 evaluación basada en escenario de riesgo para el que se analizó la probabilidad
y el impacto que componen el nivel de riesgo.
 tratamiento de los riesgos, priorizando de acuerdo con el nivel de riesgo
determinado la criticidad del activo y la tolerancia al riesgo de la Organización.

En el ámbito del tratamiento, la gestión del riesgo incluye la implementación de controles
y mecanismos de seguridad cuyo objetivo es mitigar o limitar los potenciales daños
provocados por la explotación de las vulnerabilidades de los activos, de forma a
minimizar la ocurrencia de incidentes de seguridad de la información y garantizar un
nivel de seguridad adecuado en virtud del riesgo que TOTALPACK puede asumir. Estas
medidas se definen de acuerdo con los objetivos de negocio y las responsabilidades de
TOTALPACK, teniendo en cuenta la eficiencia, el coste y su aplicabilidad.

La gestión del riesgo de TOTALPACK incorpora también el seguimiento de los riesgos
operativos a los que TOTALPACK se encuentra expuesto, a través del establecimiento
de procedimientos de evaluación del nivel de exposición y del límite de riesgo
considerado aceptable con vistas a los objetivos de la Organización, de acuerdo con la
Política Gestión de Riesgos (PO-GGE-002).

2.4.2 Protección

2.4.2.1 Control de Acceso

Las identidades y credenciales de acceso a las redes y sistemas de información de
TOTALPACK se emiten, gestionan, comprueban, revisan, revocan y auditan según los
principios del menor privilegio, de la funcionalidad mínima y de la segregación de
funciones. Estos principios se aplican transversalmente a accesos internos (de
empleados), externos (de proveedores, prestadores de servicio o clientes) y remotos
(internos o externos).

Los mecanismos de autenticación en las redes y sistemas de información de
TOTALPACK se definen y mantienen de acuerdo con sus características y perfiles de
accesos, para permitir el mantenimiento de la integridad y confidencialidad de la
información.

2.4.2.2 Seguridad de Datos y de las Comunicaciones

Las redes y los sistemas de información de TOTALPACK deben proteger la seguridad
(confidencialidad, integridad y disponibilidad) de los datos almacenados, de los datos en
circulación, de los datos en utilización y de los flujos de transferencia de la información.
Para ello, TOTALPACK ha implementado los controles de:
  clasificación, manipulación y destrucción de la información.
 criptografía.
 desarrollo seguro y restricción en el uso de software.
 prevención y detección de actividad maliciosa.

2.4.2.3 Recursos Humanos

TOTALPACK promueve acciones de formación y sensibilización en seguridad de la
información y ciberseguridad, y transmite la información necesaria para que la Alta
Dirección y sus empleados sean aptos para asumir su responsabilidad en el ámbito de
la ciberseguridad. TOTALPACK valida posteriormente el éxito y eficacia de estas
acciones a través de campañas de, por ejemplo, simulación de eventos.

Los empleados de los departamentos con accesos privilegiados a las redes y los sistemas
de información de TOTALPACK tienen, adicionalmente y antes de asumir funciones,
formación específica sobre gestión de accesos y demás procedimientos operacionales.
Los empleados con responsabilidades añadidas en seguridad de la información y/o en
ciberseguridad de TOTALPACK tienen, además, formación especializada en el área de
seguridad de la información.

2.4.3 Detección

TOTALPACK recurre a servicios externos especializados en ciberseguridad para la
gestión de eventos a los sistemas de información. Los resultados y vulnerabilidades
identificados se incorporan posteriormente al plan de acción interno de TOTALPACK,
para ser analizados en el contexto de la gestión de riesgo.

2.4.4 Respuesta

El proceso de respuesta a incidentes de TOTALPACK esta sistematizado en el
Procedimiento Gestión de Incidentes, No Conformidades y Acciones Correctivas (PR-
GGE-001) y, en particular, de ciberataques, en los que se encuentran definidas las tareas
de identificación, clasificación, intervención técnica, registro y tratamiento que deben
ser realizadas después de detectar un incidente. De esta forma, TOTALPACK pretende
asegurar una respuesta rápida y eficaz que permita minimizar los daños potenciales en
el negocio a nivel de la confidencialidad, integridad y disponibilidad de los sistemas de
información.

Estos procedimientos, junto con otros procedimientos de comunicación e informes
transversales a todas las áreas de la Organización, definen también el plan de
comunicaciones para las partes interesadas (internas y externas) de TOTALPACK,
concretamente el contenido relevante para compartir y los canales adecuados, con la
finalidad de identificar, contener y solucionar el incidente, así como de minimizar su
impacto para esas mismas partes interesadas.

2.4.5 Recuperación

2.4.5.1 Copia de Seguridad

TOTALPACK realiza copias de seguridad de la información crítica almacenada en sus
sistemas de información, guardando las mismas en una localización alternativa, cuando
sea posible, y garantizando el mantenimiento de la confidencialidad de la información.
TOTALPACK asegura además la integridad y disponibilidad de las copias de seguridad,
estableciendo para ello procedimientos de restauración que garanticen la reposición
eficiente de las copias de seguridad en caso de necesidad dentro del objetivo de tiempo
de recuperación. Estos procedimientos se prueban con regularidad, de forma a validar
la adecuación de estos, así como, precisamente, la integridad y disponibilidad de las
copias realizadas.

2.4.5.2 Plan de Continuidad de Negocio y Planes de Recuperación de la
Actividad

La disponibilidad de la información, de los sistemas y de la infraestructura se encuentran
aseguradas por la aplicación de procesos de gestión y planes de recuperación de
incidentes de seguridad de la información graves o ciberataques. De este modo y ante
la ocurrencia de tales incidentes, TOTALPACK tiene la capacidad de continuar prestando
sus servicios, concretamente sus funciones de negocio críticas, en condiciones
adecuadas y en los términos definidos en la regulación, normas y procedimientos
específicos aplicables, minimizando así los impactos negativos que de allí puedan
derivar, tanto para la reputación de la Organización como para todas las partes
interesadas de TOTALPACK

2.4.6 Pruebas

En el marco de la gestión del riesgo, TOTALPACK realiza pruebas para evaluar la eficacia
de los controles aplicados para la mitigación de los riesgos identificados. Además,
siempre que la infraestructura de TOTALPACK sufre actualizaciones, tanto por vía de la
integración de un nuevo sistema de información como debido a la alteración significativa
de un sistema ya existente, se aplica un plan de pruebas de seguridad para garantizar
el mantenimiento de la integridad, disponibilidad y confidencialidad de la información.

TOTALPACK realiza además pruebas periódicas a sus procedimientos de gestión de
incidentes y de ciberataques y a los planes de continuidad de negocio y de recuperación
de Datacenter y/o Nube (según sea el caso), basadas en escenarios posibles, con el
objetivo de evaluar su eficacia e identificar puntos de fallo y potenciales mejoras.

2.4.7 Mejora Continua

TOTALPACK es consciente no solo de su realidad dinámica – a nivel de los procesos de
negocio activos y recursos humanos – sino también de la constante evolución de las
ciber amenazas y explotación de nuevas vulnerabilidades. Además, la seguridad de la
información y la ciberseguridad es transversal a todas las actividades de la Organización,
por lo que su mejora continua constituye uno de los objetivos de TOTALPACK.

En este sentido, TOTALPACK actualiza sus procedimientos, políticas, planes y procesos
a la luz de la actualización de las buenas prácticas del sector y de las referencias y
normas internacionales de ciberseguridad. Además, dicha revisión incorpora las
oportunidades de mejora propuestas por auditorías, pruebas de intrusión u otros
proyectos internos y externos en materia de ciberseguridad, así como las lecciones
aprendidas en el transcurso de la respuesta y recuperación de incidentes de seguridad
de la información.

Como medida de seguimiento de dicha mejora continua, TOTALPACK tiene acceso a un
conjunto de datos/indicadores que soportan modelos de informe de ciberseguridad, que
son utilizados para presentación interna al Comité de Seguridad de la Información y,
cuando se aplique, a otros órganos de la empresa.
2.4.8 Control de Acceso Físico

TOTALPACK Para gestionar la seguridad física y del entorno, define perímetros de
seguridad para proteger las áreas que contienen información sensible, así como los
recursos de tratamiento de la información y procedimientos para trabajar en las áreas
seguras. La protección de tales áreas de la oficina, incluyen controles de acceso para
permitir el ingreso sólo de personas autorizadas. Cabe señalar que estas medidas
incluyen protección contra desastres naturales, ataques o accidentes. Además, se cuenta
segregación física de áreas de carga y descarga.

2.5 GESTIÓN DE RIESGOS

Conocer el impacto que los riesgos de la seguridad de la información y ciberseguridad
tienen sobre la Organización a raíz de las amenazas y vulnerabilidades en las que operan
los distintos sistemas de información, es una actividad fundamental para identificar los
incidentes que pueden ocurrir en la organización, ya que nos permite definir acciones
más adecuadas para su tratamiento.

La Organización debe implementar una metodología que permita crear un proceso de
evaluación de riesgos, de acuerdo con lo siguiente:
1. definir cómo identificar los riesgos que podrían causar la pérdida de
confidencialidad, integridad o disponibilidad de la información de la organización.
2. definir cómo identificar a los dueños del riesgo.
3. definir criterios para evaluar las consecuencias del riesgo y su probabilidad de
ocurrencia.
4. definir cómo se calcula el riesgo.
5. definir el criterio de aceptación de riesgos.
6.
La evaluación de riesgos da lugar a la generación de un plan de tratamiento de riesgos.

2.6 COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

Con el objeto de asegurar el cumplimiento de la presente política, TOTALPACK ha
establecido una Estructura Organizacional de Seguridad de la Información que
contempla la definición de funciones específicas en el ámbito de la seguridad.

TOTALPACK ha conformado el Comité de Seguridad de la Información, el cual se debe
encargar de desarrollar, implementar y realizar seguimiento a todas las iniciativas e
incidentes que se relacionen con la Seguridad de la Información y la Ciberseguridad, en
especial la presente política, sus actualizaciones y modificaciones, el cual está
conformado por personal de la alta administración de la empresa, conforme a su
Estatuto.

Las funciones del Comité se describen en su Estatuto Comité Seguridad de la Información
(ES-GGE-001), de las cuales caben destacar las siguientes:

a) verificar al menos anualmente, o cuando sea necesario, las políticas de seguridad.
b) definir y mantener el Sistema de Gestión de Seguridad de la Información y
Ciberseguridad (SGSI).
c) solicitar auditorías, diagnóstico y monitoreo de las políticas y del SGSI.
d) hacer seguimiento de los incidentes de seguridad de la información.
e) solicitar que se regule el tratamiento de la información desde el punto de vista de
la seguridad de algún recurso o proceso que no lo tuviese.
 f) asegurar el entrenamiento y capacitación en prácticas de seguridad de la
información.

2.7 DOCUMENTOS DE POLÍTICAS

El presente documento constituye una política de alto nivel, destinada a normar los
aspectos más relevantes de la gestión de seguridad de la información, con una visión de
largo plazo.

Complementando la presente política, se han de elaborar e implementar políticas de
seguridad necesarias para regular, con mayor grado de detalle, los recursos de
información de acuerdo con las disposiciones mencionadas en esta política general.

El Comité Seguridad de la Información de TOTALPACK es responsable por la presente
política, que debe asegurar que sea de conocimiento de todos los colaboradores
(empleados y terceros).

Para todos los colaboradores, se debe adjuntar una evidencia de la recepción de un
ejemplar de esta política en su carpeta personal, gestionada en Recursos Humanos.

Todas las políticas generadas a partir del establecimiento del SGSI deben tener un
respectivo dueño correspondiente a su área de injerencia, y quienes son responsables
de revisar, implementar y actualizar cada documento.

Las políticas de Seguridad de la Información y ciberseguridad deben ser revisadas
anualmente por el Comité de Seguridad de la Información y sus cambios deben ser
validados/aprobados por el Comité Seguridad, previo a su publicación y difusión.

2.8 CLASIFICACIÓN DE LA INFORMACIÓN

La información que se maneja en TOTALPACK tiene diferentes niveles de importancia
en cuanto al riesgo que representa su eventual divulgación, adulteración o
indisponibilidad. Por lo anterior, se hace necesario clasificar la información según el nivel
de daño que se genera si se compromete su confidencialidad, integridad o disponibilidad.

El propietario de la información es responsable de su clasificación y de definir las
personas que tendrán acceso a ella, debiendo periódicamente revisar la clasificación
determinada, con el propósito de mantenerla o modificarla según se estime apropiado.

2.9 DE LA INFORMACIÓN DE CLIENTES

TOTALPACK tiene información de sus clientes, la cual es considerada información
sensible y valiosa, por ende, se compromete a tratarlos dando pleno cumplimiento a la
normativa legal y la política de tratamiento de datos personales, como si fueran
información de propiedad de la misma Organización.

2.10 DE LA INFORMACIÓN DE LOS PROVEEDORES, EMPRESAS EXTERNAS Y
CONSULTORES

TOTALPACK tiene información de sus proveedores, la cual es considerada información
valiosa, por ende, se compromete a tratarlos dando pleno cumplimiento a la normativa
legal y la política de tratamiento de datos personales.
Las empresas externas y consultores que presten servicios, que afecten la operatividad
de la Empresa, deben suscribir contratos que incluyan cláusulas que el tercero debe
cumplir con las políticas, normas y procedimientos de seguridad de los activos de
información de TOTALPACK. En los casos de proveedores, en los cuales la Empresa está
obligado a contratos de adhesión, se deberá gestionar el riesgo involucrado, aplicar las
mitigaciones aplicables e informar al Comité Seguridad de la Información.

2.11 DE LAS AUDITORÍAS

Con el fin de asegurar el correcto uso de los recursos de su propiedad, el Comité
Seguridad de la Información de TOTALPACK se reserva la facultad y el derecho de
auditar en todo momento y sin previo aviso, el cumplimiento de las políticas vigentes y
que dicen relación con el acceso y uso que los usuarios hacen de los recursos de
información, tanto lógicos como físicos.

2.12 DEL COMPROMISO DE TOTALPACK

Con el fin de mantener el nivel de seguridad adecuado, el Comité Seguridad se debe
asegurar de:

a) establecer, implementar, mantener y continuamente mejorar el SGSI de acuerdo
con los requerimientos de la norma internacional ISO/IEC 27001 vigente.

b) utilizar los recursos adecuados y que estén a su alcance para proteger sus
recursos de información y capacitar a sus empleados en materias de seguridad
de la información.

c) cumplir la legislación vigente, respecto de la manipulación y resguardo de la
información y materias afines, así como también de los acuerdos alcanzados
contractualmente con otras empresas y colaboradores.

d) adoptar el nivel de seguridad que se alinee a estándares internacionales, que
garanticen un tratamiento integral en la administración de la seguridad de los
recursos de información, tanto al interior de la empresa como en sus
comunicaciones con el exterior.

e) definir un estándar mínimo de seguridad a todos los recursos de información.

f) aplicar niveles de seguridad a los recursos de información, proporcionales a su
criticidad y riesgo.

g) generar los procedimientos adecuados para que el acceso a la información sea
realizado sólo por usuarios debidamente autorizados, acreditados y autenticados,
de acuerdo con los privilegios de acceso asignados para el desempeño de sus
funciones sobre la base de su descripción de cargo.

h) evaluar todos los proyectos relacionados con recursos informáticos de
TOTALPACK, desde la perspectiva de la Seguridad de la Información, incluyendo
la ciberseguridad, y a través de las áreas correspondientes.

i) proveer los recursos necesarios para gestionar de forma adecuada los
requerimientos de la política de seguridad de la información para el
establecimiento, implementación, mantenimiento y mejora del SGSI.
j) asegurar la continuidad de los procesos de negocio, mediante la implementación
de planes de contingencia adecuados.

k) realizar y mantener respaldos periódicos de la información y de los sistemas de
acuerdo con su criticidad, requerimientos legales y de continuidad de negocio.

l) definir responsables de la administración de todo recurso informático, incluyendo
los aspectos relacionados con su generación, procesamiento, almacenamiento y
transmisión.

m) definir los procedimientos para que cualquier elemento que le sea entregado o
retirado a un usuario cumpla con las formalidades definidas, permitiendo además
mantener un registro actualizado de los equipos y software de la empresa.

n) aplicar las sanciones correspondientes, ante la detección de actividades ilícitas o
reñidas con disposiciones internas y/o que caigan dentro de lo penado por la Ley,
sin perjuicio de iniciar las acciones civiles legales que la Ley le confiera.

o) mantener estricto resguardo de la documentación o evidencia generada a partir
de las actividades de seguimiento, revisión y evaluación del sistema de gestión
de seguridad de la información.

2.13 DE LAS RESPONSABILIDADES Y DEBERES DE LOS USUARIOS (INTERNOS
Y EXTERNOS)

Los Usuarios de TOTALPACK, tienen las siguientes responsabilidades y deberes:

a) mantener debida reserva y bajo resguardo la información sensible a la cual
tuviese acceso autorizado.

b) abstenerse de acceder sin autorización o indebidamente a terminales, archivos,
documentación o datos de TOTALPACK, sus colaboradores, clientes y/o
proveedores.

c) abstenerse de instalar software o conectar equipos personales u otros elementos
no autorizados, a la red de datos.

d) asegurar el resguardo de la confidencialidad, integridad y disponibilidad de la
información de TOTALPACK y dar aviso al CISO de cualquier situación o
circunstancia que pueda afectar o poner en riesgo la información o los sistemas
de procesamiento de información.

e) abstenerse de realizar actos contrarios a la propiedad física e intelectual de
TOTALPACK, particularmente a la incluida en entornos digitales, tales como
diseños de procesos, modelos de bases de datos y aplicaciones de negocios; así
como también de vulnerar contratos de licenciamiento de software y similares,
suscritos por TOTALPACK con sus proveedores de tecnologías de información.

f) utilizar los recursos, en especial los recursos informáticos, para desempeñar las
funciones que le fueron asignadas.

g) mantener en adecuadas condiciones los elementos de tecnología de información
entregados para el desempeño de su trabajo. Conocer y cumplir las normas y
 procedimientos asociadas al uso de los recursos tecnológicos y activos de
información a los que se le otorgue acceso, como, por ejemplo, aquellas
asociadas al uso de contraseñas, del correo electrónico y del acceso a redes
públicas como Internet.

h) colaborar con los controles y procesos de auditoría orientados a verificar el
cumplimiento de las políticas vigentes y que dicen relación con el acceso y uso
que los usuarios hacen de los recursos de información, tanto lógicos como físicos.

2.14 DE LA COMUNICACIÓN

TOTALPACK debe asegurar la existencia de un proceso que permita determinar de
forma clara y planificada los requerimientos de comunicación de la información relevante
para la seguridad de la información, hacia todos los participantes que contribuyen al
funcionamiento del SGSI, esto con el fin de que la información definida para un período
determinado sea presentada por los responsables a través de los canales dispuestos
para ello.

2.15 DE LAS COMPETENCIAS Y CONCIENTIZACIÓN EN SEGURIDAD DE LA
INFORMACIÓN Y CIBERSEGURIDAD

TOTALPACK debe determinar las competencias necesarias del personal que pueden
afectar el funcionamiento del Sistema de Gestión de Seguridad de la Información,
incluyendo los siguientes elementos:

a) se deben establecer los mecanismos adecuados para evaluar y asegurar que el
personal posee la educación, capacitación o experiencia necesarios y con esto
establecer las acciones correspondientes para la capacitación del personal u otra
medida que la organización considere apropiada. Para tal efecto, la organización
provee un proceso de entrenamiento en seguridad de la información y procura
su reedición anual en base a la retroalimentación del propio SGSI.

b) asegurar competencias en seguridad de la información a partir de los programas
de entrenamiento establecidos.

c) el Comité de Seguridad de la Información debe evaluar de forma anual la
efectividad de la capacitación en seguridad de la información, y a partir de esto
tomar las acciones pertinentes.

d) gestionar toda la información documentada respecto de la efectividad y
rendimiento de la capacitación en seguridad de la información.

e) dentro de los programas de capacitación, la organización vela por que todos sus
empleados estén conscientes de los siguientes puntos:

 la presente política;

 la contribución que los mismos colaboradores realizan para la efectividad del
SGSI, incluyendo los beneficios de la mejora continua de la seguridad de la
información;

 las implicancias de no cumplir con los requerimientos del SGSI.
2.16 EVALUACIÓN DE DESEMPEÑO DEL SGSI

El Comité Seguridad de la Información debe asegurar, la asignación de responsables,
planificación y desarrollo de actividades que permitan evaluar el desempeño de
funcionamiento del SGSI, con el fin de asegurar la adecuación y eficacia de este para el
cumplimiento de los objetivos de seguridad de la información.

El seguimiento, medición, revisión y evaluación de la documentación se debe realizar en
intervalos establecidos sobre los aspectos relevantes a la seguridad de la información
que la organización requiera. Se debe considerar un marco de determinación de los
temas a evaluar que incluya el alcance, métodos, responsables, períodos, etc.

Asimismo, se establece que la organización debe ser capaz de realizar auditorías internas
para evaluar que el SGSI se encuentra de acuerdo con los requerimientos de la
normativa aplicable, en especial la norma internacional ISO/IEC 27001:2022.

TOTALPACK se compromete a reconocer cuales son las oportunidades de mejora
continua y las actualizaciones necesarias para los diferentes aspectos del SGSI. Para tal
efecto, el Comité de Seguridad de la Información debe dar prioridad al control y revisión
de los resultados de la evaluación del desempeño del SGSI y mantiene informado al
Comité Seguridad.

3. PRINCIPALES RESPONSABILIDADES

3.1 COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

El Comité de Seguridad de la Información de TOTALPACK es un comité interno de
carácter técnico, que evalúa y analiza posibles soluciones de mejora en seguridad de la
información para la operación y el negocio, incluyendo evaluaciones de recursos, los
cuales deben necesariamente ser presentados a la evaluación y aprobación del Gerente
General, incluso del Directorio de la Organización, antes de su implementación.

El Comité de Seguridad de la Información es responsable de la definición de
estrategias y directrices en el marco de la seguridad de la información y de la
ciberseguridad, fomentando sinergias en la implementación, cumplimiento y
seguimiento de dichas estrategias y requisitos en las diversas áreas de la Organización
y en los diferentes dominios de Administración, Protección, Vigilancia y Resiliencia.

El Comité́ de Seguridad de la Información debe mantener a la Gerencia General y, si
corresponde, a los restantes miembros de los respectivos Comité Seguridad,
informados de todos los asuntos relevantes en materia de ciberseguridad.

3.2 PROPIETARIO DEL PROCESO, DEL RIESGO O DEL ACTIVO DE
INFORMACIÓN

Cada Propietario de Proceso, o de Riesgo o de Activo de Información, debe:

a) asumir la responsabilidad primera de asegurar la aplicación y seguimiento de las
distintas políticas y procedimientos definidos por la Empresa para el logro de los
objetivos de cada proceso.

b) conocer los riesgos asociados a sus procesos y/o activos de la información,
definir planes de mitigación y procurar la implementación de estos.
 c) conocer las oportunidades asociadas a sus procesos y/o activos de la
información, definir planes de potenciación y procurar la implementación de estos.

d) planificar sus procesos, los objetivos e indicadores, de forma coherente con esta
política, de forma de minimizar riesgos, potenciar las oportunidades, verificar
desempeño y optimizar los resultados de la organización en su conjunto.

e) aprobar la identificación del riesgo y oportunidades, el análisis, su valoración y el
tratamiento aplicado.

3.3 EMPLEADO DE TOTALPACK

Los empleados de TOTALPACK deben comprender claramente los riesgos de
seguridad de la información y de ciberseguridad a los que están expuestos en el
ejercicio de sus funciones, así como sus papeles y responsabilidades en el marco de la
mitigación de esos riesgos y de la consiguiente protección de los activos de la
Organización.

En particular, los colaboradores son responsables de:

a) cumplir todas las políticas, normas, códigos y procedimientos definidos en el
ámbito de la seguridad de la información y de la ciberseguridad;

b) los activos de información que se les confían, debiendo contribuir
proactivamente a la debida protección de estos.

3.4 PROVEEDORES, PRESTADORES DE SERVICIOS Y OTRAS ENTIDADES
EXTERNAS DE TOTALPACK

Los proveedores, prestadores de servicios y demás entidades externas deben adoptar
conductas y procedimientos consistentes con la presente política. En particular, los
contratos entre TOTALPACK y las empresas o personas prestadoras de servicios con
acceso a su información y/o a sus sistemas de información y/o entorno tecnológico
deben contener cláusulas y requisitos de seguridad que aseguren la confidencialidad
entre las partes y que aseguren que los profesionales bajo su responsabilidad cumplan
la presente política, normas, códigos y demás procedimientos que sean aplicables.

Los proveedores y demás entidades externas son también responsables de informar a
TOTALPACK sobre la ocurrencia de incidentes de seguridad de la información o en
sistemas de información de TOTALPACK.

4. PUBLICACIÓN, SENSIBILIZACIÓN Y CAPACITACIÓN

El Comité Seguridad de la Información de TOTALPACK debe asegurar los mecanismos
para que todas las políticas, en especial la presente y sus futuras modificaciones sean
conocidas y estén a disposición permanentemente por todos los Usuarios.

El Comité Seguridad de la Información de TOTALPACK considera como tareas
prioritarias la sensibilización, capacitación y entrenamiento de los colaboradores, en las
materias indicadas en la presente política.

El Comité de Seguridad de la Información de TOTALPACK debe crear mecanismos para
que esta política y sus documentos asociados, sean conocidos y considerados
permanentemente por todos los integrantes de la organización, asegurándose que los
colaboradores asumen y comprenden sus responsabilidades, desde la inducción hasta el
mantenimiento del SGSI.

5. INCUMPLIMIENTO Y SANCIONES

Frente a la ocurrencia de algún incumplimiento a las definiciones dadas en la presente
política, quien lo detecte debe informar a la brevedad a su jefatura directa y/o al CISO,
quienes analizarán el incumplimiento y deben gestionar las medidas necesarias para
minimizar los potenciales daños a la organización y lograr el cumplimiento integral de
esta política, evitando que se reiteren situaciones similares.

Todo colaborador tiene la obligación de notificar cualquier actividad o situación que
afecte o pueda afectar lo dispuesto en la presente política. Dicha notificación se debe
registrar conforme al Procedimiento Gestión de Incidentes, No Conformidades y Acciones
Correctivas (PR-GGE-001).

El colaborador que contravenga lo indicado en esta política y/o los documentos
relacionados a la misma, se le debe aplicar lo establecido en el Reglamento Interno de
Orden, Higiene y Seguridad (RE-GGE-001), en cuanto a sanciones y multas.

Con relación al personal externo y/o proveedores que no cumplan con lo indicado en
esta política, dependiendo del tipo de incumplimiento se debe amonestar o rescindir el
contrato.

6. CONTEXTO NORMATIVO

Esta política responde al requerimiento 5.2 - Política de la norma ISO/IEC 27001:2022.
Además, esta política se basa en las buenas prácticas incluidas en la norma ISO/IEC
27032:2023.

Esta política debe ser revisada al menos una vez al año, en cuanto a su adecuación al
negocio, los procesos, objetivos e indicadores, además de las políticas y documentos
complementarios.