Política de Seguridad de la Información

Introducción

Propósito

El propósito de esta política es establecer los principios para asegurar que los recursos de tecnología de la información de Sofis Solutions (personas, procesos, información y tecnología) son protegidos adecuadamente.

La política establece un marco de trabajo integral para salvaguardar los activos de información de la organización y asegurar la confidencialidad, integridad y disponibilidad de los datos.

Alcance

Esta política aplica a:

  1. Todos los empleados, contratistas, consultores, personal temporario, pasantes, y cualquier otra forma de relación profesional con Sofis Solutions, incluyendo al personal de terceras partes.
  2. Todas las ubicaciones donde se alojan o utilizan recursos de tecnología de la información de Sofis Solutions.
  3. Todos los recursos de tecnología de la información de Sofis Solutions.
  4. Cualquier información que no esté específicamente identificada como propiedad de otras partes que sea transmitida o almacenada en recursos de tecnología de la información de Sofis Solutions o contratados por esta (incluyendo archivos, correos y mensajería instantánea).
  5. Todos los dispositivos conectados a redes de Sofis Solutions o utilizados para acceder a sus recursos.

Excepciones

Cualquier excepción a esta política requiere aprobación de Dirección o de quien haya sido debidamente delegado.


Líneamientos y requerimientos

  1. Se debe mantener un inventario de recursos de tecnología de la información.
  2. Se debe gestionar los riesgos de seguridad de la información a través del ciclo de vida de los recursos de tecnología de la información.
  3. Los recursos de tecnología de la información deben ser asegurados de acuerdo con el riesgo que representen y con controles de mitigación apropiados.
  4. Todos los accesos a recursos de TI deben ser aprobados en base a necesidad y deben ser revisados periódicamente.
  5. Se deben monitorear y analizar en tiempo y forma los eventos de seguridad de la información y actividades anómalas.
  6. Los incidentes de seguridad de la información deben ser gestionados y mitigados en tiempo y forma.
  7. Se deben desarrollar y probar plantes de continuidad del negocio y de recuperación contra desastres.
  8. Los recursos de TI deben ser gestionados de acuerdo con la legislación y regulaciones aplicables.
  9. El acceso remoto estará restringido a los requerimientos de operación del negocio de Sofis Solutions y deberá contar con configuraciones de seguridad y métodos de cifrado robustos.
  10. La política de seguridad de la información servirá como marco para un programa documentado e integrador que incluya políticas o procedimientos relativos a:
    • Privacidad de Datos
    • Respuesta a Incidentes
    • Control de Acceso
    • Clasificación y Etiquetado de Datos
    • Gestión de Proveedores
    • Cifrado de datos
    • Seguridad de Redes
    • Entrenamiento y concientización en Seguridad
    • Seguridad Física
    • Acceso Remoto
    • Gestión de Activos
    • Retención y Eliminación de Datos
    • Monitoreo y Registros de Seguridad
    • Continuidad de Negocios y Recuperación contra Desastres
    • Gestión de Configuración
    • Contraseñas
    • Uso Aceptable de Activos
  11. Los incidentes de seguridad deben ser inmediatamente reportados a Dirección.
  12. Los indicadores de desempeño de seguridad de la información deben ser reportados al menos anualmente a la Dirección.
  13. Los indicadores de riesgo de seguridad de la información deben ser reportados al menos anualmente a la Dirección y al Coordinador de Sistemas Integrados de Gestión Sostenibles.

Roles y Responsabilidades

  1. La Dirección de Sofis Solutions es responsable final por la gestión de riesgos de incidentes de seguridad y es quien supervisa la estrategia, la financiación y los recursos para seguridad de la información, apoyándose en gerentes y coordinadores.
  2. La Dirección tiene la autoridad para:
    1. Establecer la estrategia, gobernanza y vigilancia de la seguridad de la información.
    2. Asignar responsabilidades de gestión sobre la seguridad de la información.
  3. La Dirección es responsable de:
    1. Ejercer el liderazgo en políticas, estándares y lineamientos de Seguridad de la información.
    2. Identificar y documentar los controles de seguridad de la información y monitorear la efectividad de los mismos.
    3. Gestión general de riesgos de seguridad de la información de Sofis Solutions.
    4. Brindar asistencia y sensibilización en temas de ciberseguridad.
    5. Gestionar incidentes de seguridad de la información.
    6. Dar soporte a eventos de privacidad y cumplimiento en el marco de la política de privacidad existente.
  4. Gerentes, Encargados y Coordinadores de servicios son responsables de la gestión de riesgos de seguridad de la información dentro de sus áreas de responsabilidad.
  5. Los dueños de recursos de información son responsables por:
    1. Evaluar, reportar y escalar riesgos de seguridad de la información, incluyendo aspectos de disponibilidad, confidencialidad e integridad, asociados con sus recursos de TI.
    2. Evaluar y gestionar riesgos de seguridad de la información asociados con sus proveedores de servicios.
    3. Supervisar el acceso a sus recursos de TI.
    4. Asegurar la gestión sobre sus controles de seguridad de la información.
    5. Cumplimiento con requerimientos legales relevantes, regulatorios y políticas aplicables.
  6. Los empleados de Sofis Solutions son responsables de adherir a la política de seguridad de la empresa y proteger los recursos de TI. Los empleados son responsables de supervisar y salvaguardar los datos y sistemas de información dentro de su ámbito de control y propiedad definida. Se les requiere el cumplimiento con las políticas y estándares relativos a riesgos de datos y el inmediato reporte de cualquier incidente o amenaza de seguridad de la información real o potencial mediante los procedimientos definidos.

Consecuencias de violaciones a la Política

Infracciones a esta política serán consideradas causales de medidas disciplinarias previstas a nivel general en la normativa de la jurisdicción correspondiente a cada empleado y a nivel particular en el contrato de trabajo y en el acuerdo de confidencialidad.


Preguntas e información de contacto

En caso de dudas o preguntas acerca de esta política de seguridad de la información o cualquier contenido citado aquí puede dirigirse por correo a seguridad@sofis.lat

Versión: 4

Fecha de aprobación: 15-08-2024.