Política de funciones y responsabilidades de Seguridad de la Información
- Propietario de la política: Pedro Piñera Buendía
- Fecha de entrada en vigencia: 2 de septiembre de 2024
Declaración de política
Tuist GmbH se compromete a llevar a cabo negocios de conformidad con todas las leyes, reglamentos y políticas de la empresa aplicables. Tuist GmbH ha adoptado esta política para describir las medidas de seguridad necesarias a fin de proteger los sistemas de información electrónica y los equipos relacionados del uso no autorizado.
Objetivo
Esta política y orientación asociada establecen las funciones y responsabilidades dentro de Tuist GmbH, lo cual es fundamental para la comunicación efectiva de políticas y estándares de seguridad de la información. Se requieren funciones dentro de la organización para proporcionar responsabilidades claramente definidas y una comprensión de cómo se debe lograr la protección de la información. Su propósito es esclarecer, coordinar las actividades y medidas necesarias para difundir la política de seguridad, las normas y la implementación.
Aplicabilidad
Esta política es aplicable a toda la infraestructura, segmentos de red, sistemas y empleados y contratistas de Tuist GmbH, que proporcionan seguridad y funciones de TI.
Audiencia
La audiencia de esta política incluye a todos los empleados y contratistas de Tuist GmbH que están involucrados con el Programa de Seguridad de la Información. El conocimiento de esta política se aplica a todos los demás agentes de Tuist GmbH con acceso a la información e infraestructura de Tuist GmbH. Esto incluye, pero no se limita a socios, afiliados, contratistas, empleados temporales, aprendices, invitados y voluntarios. Los títulos se denominarán colectivamente en lo sucesivo “comunidad deTuist GmbH”.
Funciones y responsabilidades
| Funciones | Responsabilidades |
|---|---|
| Junta directiva | - Supervisión de riesgo cibernético y control interno de la seguridad de la información, privacidad y cumplimiento. - Consultar con el equipo de liderazgo ejecutivo para comprender la misión y los riesgos de TI de Tuist GmbH y proporcionar orientación para alinear los objetivos empresariales, de TI y de seguridad. |
| Liderazgo Ejecutivo | - Apruebe los gastos de capital para los programas y las iniciativas de seguridad y privacidad de la información. - Supervisión de la ejecución del programa de gestión de riesgos de seguridad y privacidad de la información y tratamientos de riesgos. - Ruta de comunicación a Tuist GmbH: Junta Directiva. - Alineación de la Política y la Postura de Seguridad y Privacidad de la Información en función de la misión, los objetivos estratégicos y el apetito de los riesgos de Tuist GmbH. |
| Gerente de TI | - Supervisión de la implementación de controles de seguridad de la información para la infraestructura y los procesos de TI. - Responsable del diseño, desarrollo, implementación, operación, mantenimiento y monitoreo de los controles de seguridad de TI. - Garantiza que TI ponga en práctica el Marco de Seguridad de la Información. - Responsable de realizar evaluaciones de riesgos informáticos, documentar las amenazas identificadas y mantener el registro de riesgos. - Comunica los riesgos de seguridad de la información al liderazgo ejecutivo. - Informa los riesgos de seguridad de la información anualmente al liderazgo de Tuist GmbH y obtiene aprobaciones para llevar los riesgos a niveles aceptables. - Coordina el desarrollo y mantenimiento de políticas y estándares de seguridad de la información. - Trabaja con la dirección ejecutiva correspondiente para establecer un marco de seguridad de la información y un programa de concientización. - Servir como enlace con la Junta Directiva, las Fuerzas del Orden, la Auditoría Interna y el Asesor Jurídico General. - Supervisión de procesos de gestión de identidad y control de acceso. |
| VP de Ingeniería | - Supervisión de la seguridad de la información en el proceso de desarrollo de software. - Responsable del diseño, desarrollo, implementación, operación, mantenimiento y supervisión de los controles de seguridad de hospedaje en la nube comerciales y de desarrollo. - Responsable de supervisar el desarrollo de políticas relacionadas con sistemas y software bajo su control. - Responsable de implementar la gestión de riesgos en el proceso de desarrollo alineado con los objetivos de la empresa. |
| Gerente de Cumplimiento | - Responsable del cumplimiento de los compromisos contractuales de la empresa. - Responsable de mantener el cumplimiento de las leyes y reglamentos pertinentes en materia de privacidad de datos y seguridad de la información (por ejemplo, RGPD, CCPA). - Responsable de la adhesión a las normas y los marcos de seguridad de la información y la privacidad de los datos adoptados por la empresa, incluidos SOC 2, ISO 27001 y los requisitos de Protección de Datos de los Proveedores de Microsoft (DPR). |
| Vicepresidente de Atención al Cliente Global | - Supervisión e implementación, operación y monitoreo de herramientas y procesos de seguridad de la información en los entornos de producción de los clientes. - Ejecución de los procesos de retención y eliminación de datos de los clientes de conformidad con la política de la empresa y los requisitos de los clientes. |
| Propietarios de sistemas | - Gestión de la confidencialidad, integridad y disponibilidad de los sistemas de información de los que son responsables de conformidad con las políticas de Tuist GmbH sobre seguridad y privacidad de la información. - Aprobación de las solicitudes de acceso técnico y de cambio para el acceso no estándar a los sistemas bajo su control. |
| Empleados, contratistas, trabajadores temporales, etc. | - Actuar en todo momento de una manera que no ponga en riesgo la salud y la seguridad de sí mismos, de otras personas en el lugar de trabajo y de la información y los recursos de los que utilizan. - Ayudar a identificar áreas en las que se deben adoptar prácticas de gestión de riesgos. - Tomar todas las medidas prácticas para minimizar la exposición de Tuist GmbH a la responsabilidad contractual y regulatoria. - Adherirse a las políticas y estándares de conducta de la empresa. - Reportar incidentes y anomalías o vulnerabilidades observadas. |
| Director de Recursos Humanos | - Asegurar que los empleados y contratistas estén calificados y sean competentes para sus funciones. - Asegurarse de que se completen las pruebas y verificaciones de antecedentes apropiadas. - Garantizar que los empleados y los contratistas pertinentes reciban las políticas de la empresa y el Código de Conducta (CoC). - Garantizar que el desempeño y la adherencia de los empleados al CoC se evalúen periódicamente. - Garantizar que los empleados reciban la capacitación de seguridad adecuada. |
| CFO | - Responsable de la supervisión del proceso de gestión de riesgos de terceros, incluidos los riesgos relacionados con los proveedores de servicios en la nube. - Responsable de la revisión de los contratos de servicio de proveedores. |
Cumplimiento de políticas
El gerente de TI medirá el cumplimiento de esta política a través de diversos métodos, incluidos, entre otros, informes, auditorías internas o externas y comentarios al propietario de la política. Las excepciones a la política deben ser aprobadas por el gerente de TI con anticipación. El incumplimiento se abordará con la gerencia y el Departamento de Recursos Humanos y puede dar lugar a medidas disciplinarias de acuerdo con los procedimientos de la empresa, incluido el despido.
Historial de versiones
El historial de versiones de este documento se puede encontrar en el repository handbook de Tuist.