Política de seguridad de la información

OBJETIVO

La presente política tiene como objetivo establecer los lineamientos generales y específicos para proteger la confidencialidad, integridad y disponibilidad de la información en nuestra organización.

ALCANCE

Esta política aplica a todos los empleados, contratistas y terceros que manejen información de la organización, así como a todos los sistemas y servicios de información utilizados.

 

POLÍTICA DE ACCESO Y AUTENTICACIÓN

  • Todo usuario deberá autenticarse de forma segura para acceder a los sistemas de información.
  • Se establecerán políticas de contraseñas robustas y se requerirá su cambio periódico.
  • Se implementarán medidas de autenticación de dos factores para acceder a información crítica.

CONTROL DE ACCESO

  • Se establecerán roles y privilegios de acceso basados en el principio de privilegio mínimo.
  • Se implementará un sistema de gestión de acceso para administrar los permisos de los usuarios.

SEGURIDAD FÍSICA Y AMBIENTAL

  • Se implementarán medidas de seguridad física para proteger los activos de información de la organización.
  • Se controlará el acceso físico a las instalaciones y a los equipos que manejan información sensible.

GESTIÓN DE ACTIVOS

  • Se llevará un inventario de los activos de información de la organización y se establecerán medidas para protegerlos.
  • Se establecerán políticas para el uso adecuado y la protección de los activos de información.

TRANSFERENCIA DE INFORMACIÓN

  •  Se establecerán medidas para proteger la información durante su transferencia, como el uso de protocolos seguros de comunicación.
 

CONFIGURACIÓN Y GESTIÓN SEGURA DE DISPOSITIVOS FINALES DE USUARIO

  • Se establecerán políticas de configuración segura para los dispositivos finales de usuario, como computadoras y dispositivos móviles.
  • Se implementarán medidas de gestión de dispositivos para proteger la información almacenada en ellos.
 

SEGURIDAD DE RED 

  • Se implementarán medidas de seguridad de red, como firewalls, detección de intrusiones y segmentación de redes.
  • Se establecerán políticas de control de acceso a la red y monitoreo de actividad sospechosa.
 

GESTIÓN DE INCIDENTES 

  • Se establecerá un proceso para la gestión de incidentes de seguridad de la información, incluyendo la notificación y respuesta ante incidentes.
  • Se realizarán pruebas periódicas de los planes de respuesta a incidentes.
 

CRIPTOGRAFÍA

  • Se utilizará la criptografía para proteger la información confidencial, tanto en reposo como en tránsito.
  • Se establecerán políticas para el uso seguro de la criptografía y la gestión de las claves.
 

CLASIFICACIÓN Y TRATAMIENTO DE INFORMACIÓN

  • Se establecerá un sistema de clasificación de la información para determinar su nivel de sensibilidad y los controles de seguridad necesarios.
  • Se establecerán políticas para el tratamiento adecuado de la información según su clasificación.
 

GESTIÓN DE VULNERABILIDADES TÉCNICAS

  • Se realizarán evaluaciones periódicas de vulnerabilidades en los sistemas y se tomarán medidas para mitigar los riesgos identificados.
  • Se establecerán políticas para la gestión de parches de seguridad y actualizaciones de software.
 

DESARROLLO SEGURO

  • Se seguirán prácticas de desarrollo seguro de software para garantizar que los sistemas sean resistentes a vulnerabilidades.
  • Se realizarán pruebas de seguridad durante el desarrollo y antes de la puesta en producción de los sistemas.
 

RESPONSABILIDADES

  • El departamento de seguridad de la información será responsable de implementar y hacer cumplir esta política.
  • Todos los empleados son responsables de cumplir con esta política y reportar cualquier incidente de seguridad.
 

REVISIÓN DE LA POLÍTICA

  • Esta política será revisada periódicamente cada 6 (seis) meses para asegurar su efectividad y cumplimiento.