Política Corporativa de Seguridad de la Información y Ciberseguridad

Entel Connect, en desempeño de sus funciones y entendiendo la importancia de una adecuada gestión de la seguridad de la información, se compromete a salvaguardar la información del negocio mediante la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) alineada con la norma NTP ISO/IEC 27001:2022 Sede Perú y NCH ISO27001:2022 sede Chile respectivamente.

Entel Connect se enfrenta a diversos desafíos y oportunidades en materia de seguridad, como la regulación cada vez más exigente, la preocupación y las expectativas de privacidad de los clientes, y la protección de la infraestructura crítica que soporta transversalmente todas las industrias.

Objetivo

El objetivo de la Política Corporativa de Seguridad de la Información y Ciberseguridad de Entel Connect, es definir y regular los principios de Seguridad de la Información y Ciberseguridad que rigen el actuar de la organización. Esta política refleja el compromiso de Entel Connect de respetar la privacidad de los clientes y colaboradores, asegurar la continuidad y calidad de los servicios, acatando la legislación y los estándares internacionales en materia de Seguridad de la Información y Ciberseguridad.

Definiciones

  • Seguridad de la información: se refiere a los procesos y metodologías que son diseñados e implementados para proteger la información, tanto física como digital, del acceso, uso, modificación, publicación y destrucción no autorizada.
  • Ciberseguridad: conjunto de prácticas, tecnologías y procedimientos destinados a proteger los sistemas de información, redes y datos de Entel Connect. Su objetivo es prevenir, detectar y responder a amenazas cibernéticas y asegurar un entorno digital seguro y confiable para todas las operaciones y Activos.
  • Activo: se refiere a cualquier recurso físico o digital de valor para una organización, incluyendo, pero no limitado a sistemas de información, datos, equipos, software, infraestructura de red, servicios y la propiedad intelectual.
  • Controles de Seguridad: Son medidas técnicas o procedimientos diseñados para proteger los sistemas de información y los activos de una organización contra amenazas cibernéticas. Estos controles ayudan a prevenir, detectar, mitigar y responder a ataques maliciosos, asegurando la confidencialidad, integridad y disponibilidad de los datos críticos y servicios de la empresa.
  • Incidente de Seguridad: evento o situación inesperada y emergente que genera o puede generar interrupción de servicios en forma acotada. Estos eventos son parte de la operación diaria de los servicios de Entel Connect.

Alcance

La presente política es aplicable a:

  • Los activos de información físicos o digitales, ya sea propiedad de Entel Connect o de sus clientes que se encuentren bajo la custodia o administración de Entel Connect.
  • Los recursos de comunicaciones y servicios fundamentales que permiten uso de los activos de información y recursos del ciberespacio sean estas personal de Entel Connect, de los clientes o de empresas prestadoras de servicios, que están obligadas a cumplir los principios y procedimientos que conforman la política de seguridad de información de Entel Connect. Mas aun si forman parte del plan continuidad de Entel Connect.

Principios

Los principios rectores de seguridad son las directrices fundamentales que guían el diseño, implementación y gestión de la seguridad en Entel Connect. Actúan como la base sobre la cual se construyen todas las normas, procedimientos y Controles de Seguridad.

  • Principio de responsabilidad: el Dueño del Activo decide sobre la finalidad, contenido y uso del Activo, siendo por tanto responsable de la seguridad de este. También es el propietario del riesgo asociado al Activo, por lo que tiene la responsabilidad y autoridad última de gestionar y aceptar el riesgo.
  • Principio de resiliencia: capacidad para prevenir, resistir y recuperarse de incidentes de Ciberseguridad. Contar con la habilidad de continuar entregando los servicios a pesar de enfrentar ciberataques.
  • Principio de conciencia y formación: educar y concientizar a todos los miembros de la organización sobre los riesgos de seguridad y las mejores prácticas para mitigarlos.
  • Principio de confidencialidad: garantizar que la información y sistemas sean accesible únicamente por las personas autorizadas.
  • Principio de integridad: garantizar que la información sólo puede ser agregada, modificada o eliminada por personas y procesos autorizados.
  • Principio de disponibilidad: garantizar que la información, procesos y servicios estén accesibles y operativos cuando se necesiten.
  • Principio de trazabilidad: se refiere a la capacidad de seguir el rastro e identificar todas las acciones realizadas en un sistema, tanto por otro sistema o como por una o más personas.
  • Principio de seguridad por diseño: integrar la seguridad desde el inicio del ciclo de vida de los sistemas y aplicaciones, en lugar de añadirla como un complemento después de su desarrollo.
  • Principio de legalidad: cumplir con todas las leyes, regulaciones y normativas aplicables. Esto implica conocer y adherirse a las obligaciones legales y reglamentarias en materia de Ciberseguridad e informar infracciones que esté en conocimiento respecto a esta política.
  • Principio de debida diligencia: actuar con el nivel de cuidado y precaución necesario para prevenir o mitigar los riesgos de Ciberseguridad que puedan afectar a la organización o a terceros.

Reglas de la Política

La Política establece las siguientes reglas que se consideran en las distintas Normas de Seguridad, que todos los colaboradores deben conocer, comprender y cumplir.

  • Los datos y la información deben utilizarse de forma responsable, respetando las leyes, las normas y los valores éticos.
  • La información debe ser clasificada por los Dueños del Activo y deben aplicarse las medidas de protección adecuadas y definida para cada categoría.
  • Se debe solicitar y obtener autorización correspondiente para acceder y descargar datos personales e información confidencial y/o reservado, respetando las restricciones que se establezcan.
  • La información y los datos deben ser utilizados sólo para los fines para los que fueron autorizados y recopilados, en ningún caso para otros fines personales o ajenos al trabajo.
  • Se debe garantizar que las identidades digitales estén configuradas de manera que ninguna persona tenga acceso a funciones o actividades que puedan generar conflictos de interés o riesgos de seguridad.
  • La identificación o identidad digital para acceder a los sistemas y recursos de la empresa es única, personal e intransferible y no debe ser compartida con nadie.