Seguridad y privacidad
Seguridad y privacidad
El Grupo Telefónica, en cualquiera de las fases del ciclo del tratamiento, aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo al que los datos de carácter personal puedan estar expuestos y en todo caso, de conformidad con las medidas de seguridad establecidas en el ordenamiento jurídico vigente en cada uno de los países y/o regiones en los que opera y la normativa interna de Seguridad. Si en algún momento esta seguridad se ve comprometida, Telefónica actuará de forma rápida y responsable. El Grupo Telefónica asumirá una especial diligencia en el análisis de aquellos tratamientos que puedan implicar un alto riesgo para los derechos y libertades de los interesados.
Para Movistar la actividad se basa en el respeto absoluto a la confidencialidad y privacidad de los datos personales, de tal forma que se pueda saber en todo momento como hacer uso de ellos. En el Centro de Privacidad se puede encontrar las condiciones de Privacidad de la página web, productos y servicios, así como los mecanismos de los que se dispone para gestionar la Privacidad.
Política de Seguridad Corporativa
Para Movistar la seguridad y privacidad, son pilares fundamentales sobre los que se construye la organización y, ha de entenderse como un concepto integral que tiene por finalidad preservar sus activos de información y proteger sus intereses y objetivos estratégicos tanto en su organización vertical, incluyendo sus unidades de negocio, como en su dimensión transversal, aplicable a la infraestructura y activos de red, Tecnologías de la información, Productos y servicios y plataforma de datos.
¿Qué entendemos por seguridad integral?
La seguridad integral engloba, no solo la seguridad física y operativa (de personas y bienes) sino también:
• Seguridad de la información
• Seguridad de las tecnologías de la información
• Continuidad del negocio
• Ciberseguridad
• Seguridad de la red
• Prevención de fraude
Así como cualquier otro ámbito o función relevante cuyo objetivo sea la protección corporativa frente a potenciales daños, sean cuales fuere, o eventuales pérdidas.
Principios de seguridad
• Principio de legalidad:
Cumplimiento de las leyes y regulaciones, tanto nacionales como internacionales en materia de seguridad.
• Principio de eficiencia:
Para alcanzar el nivel de seguridad requerido se subrayará el carácter anticipativo y preventivo. Para ellos se privilegiará el conocimiento de las potenciales amenazas y se analizaran los riegos potenciales.
• Principio de corresponsabilidad:
Los usuarios deben presentar la seguridad de los activos que Colombia Telecomunicaciones pone a su disposición, en consonancia con los criterios, requisitos, procedimientos y tecnologías de seguridad definidas en el Marco Normativo de Seguridad así cono las leyes y regulaciones aplicables en materia de seguridad.
• Principio de cooperación y coordinación:
Se preservará la acción global y el concepto integral de las actividades de seguridad junto con los mencionados requisitos de anticipación y prevención, y se priorizarán la cooperación y la coordinación entre todas las unidades de negocio y empleados, para generar las sinergias adecuadas y reforzar las capacidades conjuntas.
Cómo se protege la información
Movistar cuenta con un marco normativo que protege la información en todos sus estados (transmisión, procesamiento y almacenamiento). La misión de la Dirección Global de Seguridad es la protección eficaz y eficiente de los activos de la empresa para facilitar la viabilidad del negocio, entendiendo la información con uno de los activos más importantes de la compañía. Con el fin de proteger ante fugas de información la compañía cuenta con objetivos de control claros y definidos como:
• Clasificación y tratamiento de la información
• Gestión de incidentes
• Análisis de riesgos
• Control de acceso
• Seguridad en las plataformas
Adicionalmente, se tiene la certificación ISO27001 en el Datacenter de la Dirección de Empresas, lo cual permite garantizar un nivel adecuado de seguridad de la información que se almacena de los clientes corporativos.
Gestión de incidentes
Movistar asegura que la información reciba un nivel adecuado de protección de acuerdo con su importancia para la organización, para esto se cuenta con un proceso de gestión de incidentes liderado por un equipo interdisciplinar donde participa el Oficial de Protección de Datos de la compañía, y cualquier incidente de seguridad relacionado con fuga de información cuenta con un procedimiento propio, el cual incluye rendir informes internos y reportar los incidentes a los Titulares y a la SIC.
Se cuenta también con los recursos técnicos para prevenir fugas intencionales o no intencionales: antivirus, proxy (incluyendo almacenamiento en la nube), Data Loss Prevention (DLP), bloqueo de periféricos (Discos USB), bloqueos de cuentas y políticas de contraseñas.
Asimismo, como parte de la gestión preventiva los colaboradores tienen como responsabilidad asistir a los cursos de formación y actividades facilitadas por la empresa en materia de seguridad y protección de la información.
Fuga de datos personales y acciones de mitigación
La privacidad es uno de los desafíos más relevantes que tienen todas las instituciones en esta era digital. Por ello, en 2018 Movistar creó el Comité de Datos Personales y Privacidad, cuyo objetivo es aunar esfuerzos con las diferentes áreas de la Compañía para fortalecer procesos internos que garanticen la seguridad de los datos de los grupos de interés, así como coordinar todas las actuaciones de cumplimiento en materia de protección de datos.
Resultado de las buenas prácticas aplicadas a la operación local, en 2019 no se presentaron reclamaciones relacionadas con violaciones a la privacidad o seguridad de la información de los clientes, fuga de datos personales o reclamaciones por parte de las autoridades regulatorias.
Adicionalmente, la Compañía cuenta con un Plan Estratégico Global de Seguridad cuyo enfoque es la protección integral de las cuatro plataformas: infraestructura y activos, sistemas y tecnologías, productos y servicios y datos. A través de este, se desarrollan todas las medidas preventivas, se controlan amenazas y se definen las rutas de reacción y contención ante incidentes.
Movistar cuenta con áreas de seguridad de la información como Ciberinteligencia, CSIRT y Red Team, donde se encuentra el equipo de respuesta a incidentes de ciberseguridad en la Gerencia de Seguridad Corporativa, y que ha gestionado satisfactoriamente los incidentes relevantes presentados. Cabe resaltar que todos los procedimientos de actuación se encuentran alineados con las mejores prácticas, las directrices dadas por el CSIRT Global y el marco regulatorio de Colombia.
Estas prácticas, directrices y optimización de los procesos también se emplean en el diseño de nuevas aplicaciones y tecnologías para el tratamiento de los datos, en el que se identifican debilidades, vulnerabilidades y amenazas para ser cerradas antes de su paso a producción.
Esta información se puede consultar a través del Informe de Gestión Responsable 2019, Para ampliar esta información se comparte el siguiente link de acceso: https://www.telefonica.co/documents/1285851/406432365/Informe+de+Gesti%C3%B3n+Responsable+Movistar+2019+Movistar+.pdf/9fa3a265-00be-06af-0c34-f7507cb3d8da