POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1. Introducción
La seguridad de la información es una prioridad fundamental para nuestra organización.
La presente política tiene como objetivo establecer los lineamientos y medidas
necesarias para proteger los activos de información de la empresa, garantizando su
confidencialidad, integridad y disponibilidad y la confianza de nuestros clientes y
socios.

2. Objetivos de Seguridad
Los principales objetivos de seguridad de la información son:
- Proteger la confidencialidad de la información: Esto implica asegurar que solo las
personas autorizadas puedan acceder a la información confidencial de la organización.
- Garantizar la integridad de la información: Nos comprometemos a prevenir cualquier
alteración no autorizada de los datos, manteniendo su exactitud y fiabilidad.
- Mantener la disponibilidad de los sistemas y datos: Nos aseguraremos de que los
sistemas críticos estén disponibles cuando se necesiten, evitando interrupciones no
planificadas.
- Cumplir con regulaciones y normativas: Estamos comprometidos a cumplir con todas
las leyes y regulaciones pertinentes en materia de seguridad de la información,
incluyendo GDPR, HIPAA, etc.
- Preservar la confianza de las partes interesadas: Nos esforzamos por mantener la
confianza de nuestros clientes, socios y empleados, demostrando un sólido compromiso
con la seguridad de la información.

3. Riesgos Concretos
Los principales riesgos a los que se enfrenta nuestra organización en materia de
seguridad de la información incluyen:
- Accesos no autorizados: El acceso no autorizado a sistemas y datos puede
conducir a la divulgación de información confidencial o la manipulación de
datos críticos.
- Pérdida o robo de información: La pérdida o robo de dispositivos o información
sensible puede tener graves consecuencias para la organización, incluyendo la
pérdida de reputación y posibles sanciones regulatorias.
- Ataques de malware y ransomware: Los ataques de malware y ransomware
pueden causar daños significativos a los sistemas y datos de la organización, así
como interrupciones en las operaciones comerciales.
 - Interrupciones del servicio: Las interrupciones del servicio pueden resultar en la
pérdida de productividad y la insatisfacción de los clientes, lo que afecta
negativamente a la reputación de la organización.
- Fugas de información: Las fugas de información pueden ocurrir debido a
errores humanos, descuidos o acciones malintencionadas, lo que puede tener
graves repercusiones para la organización.
-
4. Mecanismos de Seguridad
Para mitigar los riesgos mencionados, se implementarán los siguientes mecanismos de
seguridad:
- Autenticación multifactor: Se requerirá la autenticación multifactor para acceder
a sistemas y aplicaciones críticas, proporcionando una capa adicional de
seguridad.
- Encriptación de datos: Todos los datos sensibles se encriptarán tanto en reposo
como en tránsito, utilizando algoritmos fuertes y certificados SSL/TLS.
- Actualizaciones regulares de software: Se implementará un programa de gestión
de parches para garantizar que todos los sistemas estén actualizados y protegidos
contra vulnerabilidades conocidas.
- Firewalls y sistemas de detección de intrusos: Se implementarán firewalls y
sistemas de detección de intrusos para proteger la red de accesos no autorizados
y actividades maliciosas.
- Copias de seguridad: Se realizarán copias de seguridad regulares de todos los
datos críticos y se almacenarán de forma segura en ubicaciones externas, para
facilitar la recuperación en caso de pérdida de datos.
5. Roles Principales
Los siguientes roles serán responsables de la implantación y gestión de la política de
seguridad de la información:
- Director de Seguridad de la Información (DSI): Será responsable de la elaboración,
implementación y mantenimiento de la política de seguridad de la información, así
como de supervisar todas las actividades relacionadas con la seguridad de la
información.
- Equipo de Seguridad de la Información: El equipo de seguridad de la información
estará compuesto por expertos en seguridad de la información que serán responsables de
implementar y mantener los controles de seguridad, realizar evaluaciones de riesgos y
responder a incidentes de seguridad.
- Gerentes de Departamento: Los gerentes de departamento serán responsables de
asegurar el cumplimiento de las políticas de seguridad dentro de sus áreas de
responsabilidad, así como de proporcionar apoyo y recursos para la implementación de
medidas de seguridad.
6. Normas del Puesto de Trabajo
Se establecen las siguientes normas para el personal no técnico, con el fin de garantizar
la aplicación efectiva de las políticas de seguridad:
- Mantener la confidencialidad de la información de la empresa y no divulgar
datos sensibles a terceros sin autorización.
- Se espera que todo el personal mantenga la confidencialidad de la información
de la organización y no divulgue datos sensibles a terceros sin autorización
expresa.
- No se deben compartir contraseñas ni credenciales de acceso con otros
empleados ni con personas no autorizadas.
- Utilizar contraseñas seguras y no compartirlas con otras personas.
- Todo el personal deberá utilizar contraseñas seguras para acceder a sistemas y
aplicaciones, incluyendo una combinación de caracteres alfanuméricos y
especiales, así como una longitud mínima de ocho caracteres.
- Las contraseñas deberán ser cambiadas regularmente y no deben ser fácilmente
deducibles ni basadas en información personal.
- No descargar ni instalar software no autorizado en los dispositivos de trabajo.
- Los empleados solo deben acceder a la información y sistemas necesarios para
realizar sus funciones laborales.
- No se permite el acceso no autorizado a datos confidenciales o sistemas críticos
de la organización.
- Los recursos de tecnología de la información de la empresa, como
computadoras, dispositivos móviles y software, deben utilizarse exclusivamente
para fines laborales autorizados.
- No se permite la instalación de software no autorizado ni la descarga de archivos
o aplicaciones de fuentes no confiables.
- Reportar cualquier incidente de seguridad o comportamiento sospechoso al
equipo de seguridad de la información.
- Todo el personal está obligado a reportar de inmediato cualquier incidente de
seguridad o sospecha de actividad maliciosa al equipo de seguridad de la
información.
- Esto incluye la detección de intentos de acceso no autorizado, pérdida o robo de
dispositivos, o cualquier otro comportamiento inusual que pueda comprometer
la seguridad de la información.
7. Cumplimiento y Revisión
Esta política de seguridad de la información entrará en vigor a partir de la fecha de su
aprobación y será revisada periódicamente para garantizar su efectividad y
cumplimiento continuo de los objetivos de seguridad de la organización.
Cumplimiento Continuo:
- La presente política de seguridad de la información entrará en vigor
inmediatamente después de su aprobación y será de cumplimiento obligatorio
para todos los empleados de la organización.
- Se llevarán a cabo controles regulares para garantizar el cumplimiento de la
política y se aplicarán medidas disciplinarias en caso de violaciones.
Revisión Periódica:
- La política de seguridad de la información será revisada y actualizada
periódicamente para garantizar su relevancia y eficacia continua.
- La revisión se llevará a cabo al menos una vez al año, o con mayor frecuencia si
se identifican cambios significativos en el entorno de seguridad de la
información.
- Durante el proceso de revisión, se evaluarán los controles de seguridad
existentes, se identificarán nuevas amenazas y se actualizarán los
procedimientos según sea necesario para mantener la protección de la
información de la organización.