Política de seguridad de la información (ISP-001)

1.     Introducción

1.1 APA.org.es & OAEE (Organización de Ayuda Educativa en Español) reconoce que la Información es fundamental para su funcionamiento efectivo y, junto al personal, es su activo empresarial más importante. La finalidad de la presente Política de Seguridad de la Información es garantizar que la información gestionada por APA.org.es & OAEE (Organización de Ayuda Educativa en Español) esté debidamente asegurada con el fin de protegerla frente a las posibles consecuencias de violaciones de la confidencialidad, fallos de integridad o interrupciones en la disponibilidad de dicha información. La falta de seguridad adecuada de la información aumenta el riesgo de pérdida financiera y de reputación para APA.org.es & OAEE (Organización de Ayuda Educativa en Español).

1.2 Este documento de política general proporciona dirección de gestión y apoyo para la seguridad de la información y enumera un conjunto de documentos de sub políticas componentes que en conjunto constituyen la Política de Seguridad de la Información de APA.org.es & OAEE (Organización de Ayuda Educativa en Español).

2.     Propósito

 Los objetivos de esta política son:

2.1 Asegurar que toda la información y los sistemas de información dentro de APA.org.es & OAEE (Organización de Ayuda Educativa en Español) estén protegidos al nivel apropiado.

2.2 Asegúrese de que todos los usuarios conozcan y cumplan con esta política, incluidas las sub políticas y toda la legislación actual y relevante del RGPD, de la UE, CCPA, PDPA.

2.3 Proporcionar un entorno de sistemas de información seguro para el personal, los estudiantes y cualquier otro usuario autorizado.

2.4 Asegurarse de que todos los usuarios entiendan sus propias responsabilidades para proteger la confidencialidad e integridad de los datos que manejan.

2.5 Proteger a APA.org.es & OAEE (Organización de Ayuda Educativa en Español) de responsabilidad o daños por el mal uso de la información o los sistemas de información.

2.6 Asegurar que la información se elimine de manera adecuadamente segura cuando ya no sea relevante o requerida.

3.     Alcance

3.1 La Política de Seguridad de la Información se aplica a la información en todas sus formas, denominadas colectivamente «activos de información» dentro de este documento. Abarca la información en papel, almacenada electrónicamente o en otros medios, la información transmitida por correo, por medios electrónicos y por comunicación oral, incluidos el teléfono y el correo de voz. Incluye texto, imágenes, audio y video. Se aplica a lo largo del ciclo de vida de la información, desde la creación hasta el almacenamiento y la utilización y la eliminación. Se requiere una protección adecuada para todas las formas de información para garantizar la continuidad del negocio y evitar infracciones de la ley y las obligaciones legales, reglamentarias o contractuales.

3.2 A los efectos de este documento, APA.org.es & OAEE (Organización de Ayuda Educativa en Español) se define como los departamentos administrativos y académicos digitales centrales de APA.org.es & OAEE (Organización de Ayuda Educativa en Español), incluida la Escuela de Estudios Avanzados y los institutos miembros, los Programas Internacionales, las Bibliotecas, el CoSector, la Central de Estudiantes, las Residencias Intercolegiales y el Instituto. Así como dependencias gubernamentales con apoyos económicos destinados a la educación. (Este apartado siempre manejado de forma virtual o en línea)

3.3 Esta política se aplica a todo el personal, estudiantes y otros miembros de APA.org.es & OAEE (Organización de Ayuda Educativa en Español) y terceros que interactúan con la información en poder de APA.org.es & OAEE (Organización de Ayuda Educativa en Español) y los sistemas de información utilizados para almacenarla y procesarla, denominados colectivamente «usuarios» a lo largo de este documento.

3.4 A los efectos de este documento, la seguridad de la información se define como la preservación de:

Confidencialidad (protección de la información contra el acceso y la divulgación no autorizados)

Integridad (salvaguardando la exactitud e integridad de la información)

Disponibilidad (garantizar que la información y los servicios asociados estén disponibles para los usuarios autorizados cuando sea necesario)

4.     Principios de seguridad de la información

Los siguientes principios sustentan esta política:

4.1 La información se protegerá de acuerdo con todas las políticas y legislaciones pertinentes de APA.org.es & OAEE (Organización de Ayuda Educativa en Español).

4.2 Es responsabilidad de todas las personas ser conscientes de la necesidad de seguridad de la información en todo el sitio web y conocer y cumplir con esta política, incluidas las sub políticas y toda la legislación actual y relevante del RGPD, de la UE, CCPA, PDPA.

4.3 Cada activo de información tendrá un propietario designado al que se le asignará la responsabilidad de definir los usos apropiados del activo y garantizar que se implementen las medidas de seguridad adecuadas para proteger el activo.

4.4 Toda la información se clasificará según un nivel de riesgo (sección 5).

4.5 La información se pondrá a disposición únicamente de aquellos que tengan una necesidad legítima de acceso.

4.6 Es responsabilidad de todas las personas a las que se ha concedido acceso a la información manejarla adecuadamente de acuerdo con su clasificación.

4.7 Se mantendrá la integridad de la información.

4.8 La información estará protegida contra el acceso no autorizado.

5.     Clasificación de la información

La siguiente tabla proporciona un resumen de los niveles de clasificación de información basada en el riesgo que han sido adoptados por APA.org.es & OAEE (Organización de Ayuda Educativa en Español). Se proporciona más información en la Política de clasificación de datos.

6.     Obligaciones legales y reglamentarias

El uso de la información se rige por una serie de diferentes leyes del Parlamento. Todos los usuarios tienen la obligación de cumplir con la legislación vigente pertinente que incluye, pero no se limita a:

  • Ley de Uso Indebido de Computadoras (1990)
  • Ley de Protección de Datos (1998)
  • Ley de Libertad de Información (2000)
  • Ley de Derecho de Autor, Dibujos y Modelos y Patentes (1988)
  • Ley de Reglamentación de las Facultades de Investigación (2000)
  • Ley de derechos humanos (2000)
  • Ley de Comunicaciones Electrónicas (2000)
  • Ley de Economía Digital (2010)
  • Ley de Publicaciones Obscenas (1959 y 1964)
  • Ley de Lucha contra el Terrorismo y Seguridad (2015)

7.     Violaciones de seguridad

7.1 Cualquier persona que sospeche que la seguridad de un sistema informático ha sido, o es probable que sea, violada debe informar al Service Desk de TI de inmediato. Asesorarán sobre qué pasos se deben tomar para evitar incidentes o minimizar su impacto, e identificarán planes de acción para reducir la probabilidad de recurrencia.

7.2 En el caso de una violación presunta o real de la seguridad de la información, la seguridad informática, con o sin consulta con el departamento correspondiente, puede requerir que cualquier sistema sospechoso de estar comprometido se haga inaccesible.

7.3 Cuando una violación de la seguridad que involucre registros informáticos o en papel se relacione con información personal, se debe informar al Oficial de Protección de Datos de APA.org.es & OAEE (Organización de Ayuda Educativa en Español), ya que puede haber una infracción de la Ley de Protección de Datos de 1998.

7.4 Todas las violaciones de seguridad física deben ser reportadas a la Oficina de Seguridad de APA.org.es & OAEE (Organización de Ayuda Educativa en Español).

8.     Sensibilización sobre políticas y procedimiento disciplinario

8.1 Esta política se proporcionará a todo el personal nuevo y existente, estudiantes y miembros de APA.org.es & OAEE (Organización de Ayuda Educativa en Español). Todos los demás usuarios de los sistemas de información de APA.org.es & OAEE (Organización de Ayuda Educativa en Español)  serán informados de la existencia de esta política, que estará disponible en el sitio web.

8.3 El incumplimiento de esta política por parte de un estudiante o miembro del personal puede conducir a la instigación de procedimientos disciplinarios hasta e incluyendo el despido y, en ciertas circunstancias, se pueden tomar medidas legales. El incumplimiento de otros usuarios puede dar lugar a la revocación del acceso, la cancelación de un contrato y, en determinadas circunstancias, acciones legales. APA.org.es & OAEE (Organización de Ayuda Educativa en Español) puede referir al usuario a la policía cuando crea razonablemente que se ha cometido un delito y cooperará plenamente con cualquier investigación policial.

9.     Gobernanza

9.1 La responsabilidad de la producción, el mantenimiento y la comunicación de este documento de política de alto nivel y todos los documentos de subpolítica recae en el Gerente de Seguridad de TI de APA.org.es & OAEE (Organización de Ayuda Educativa en Español).

9.2 Este documento de política de alto nivel ha sido aprobado por el Grupo de Gobernanza de la Tecnología de la Información (ITGG). Los cambios sustantivos sólo podrán efectuarse con la aprobación ulterior de este grupo. Las responsabilidades para la aprobación de todos los documentos de sub políticas se delegan en el Grupo de Seguridad de la Información (ISG). Antes de aprobar cualquier sub política, el ISG consultará con el ITGG, cuando sea necesario.

9.3 Cada uno de los documentos que constituyen la Política de Seguridad de la Información será revisado anualmente. Es responsabilidad del Gerente de Seguridad de TI asegurarse de que estas revisiones se lleven a cabo. También es responsabilidad del Administrador de Seguridad de TI asegurarse de que el conjunto de políticas sea y siga siendo internamente consistente.

9.4 Los cambios o adiciones a la Política de Seguridad de la Información pueden ser propuestos por cualquier miembro del personal, a través de su Director de Escuela o Departamento al Gerente de Seguridad de TI.

9.5 Cualquier cambio sustancial realizado en cualquiera de los documentos del conjunto se comunicará a todo el personal pertinente.

10.     Conjunto de directivas

El conjunto completo de documentos de la directiva de seguridad de la información consta de:

11.     Políticas y documentos asociados

Las siguientes políticas de APA.org.es & OAEE (Organización de Ayuda Educativa en Español) apoyan y proporcionan un contexto adicional a esta política:

  • Política de Protección de Datos
  • Política de Libertad de Información
  • Política de clasificación de datos
  • Política de administración de registros
  • Política de Gestión de Riesgos
  • Política de redes sociales
  • Política de gestión de datos de investigación

12.     Control de versiones

APA.org.es & OAEE (Organización de Ayuda Educativa en Español) reconoce como propia todas las versiones que se generen después de la fecha de esta publicación.

Fecha de actualización: – –

Fecha de publicación: Octubre, 2022