Ir al contenido

POLÍTICA DE PROTECCIÓN DE LA  INFORMACIÓN

Política de seguridad para nuestros Clientes

1. OBJETIVO 

Establecer un marco de medidas y controles destinados a proteger la información contra la  divulgación no autorizada, modificación o eliminación de la misma, mediante la implementación  de medidas preventivas que garanticen su accesibilidad cuando sea necesario.  

2. ALCANCE 

Esta política se aplica a toda la información y activos de información de la organización,  independientemente de su formato o medio, que incluyen, pero no se limitan a, información en  formato electrónico, impreso o verbal. Abarca a todos los empleados, contratistas, proveedores  y cualquier otra persona o entidad que tenga acceso a la información de la organización. 

3. DEFINICIONES 

∙ Acceso Remoto: Capacidad de conectarse a un sistema o red desde una ubicación distinta  a la del sistema, generalmente a través de una conexión segura como una VPN 

∙ Activos de Información: Recursos valiosos de una organización, incluyendo datos,  hardware, software y cualquier información esencial para la operatividad y el cumplimiento de  objetivos 

∙ Actualización de Parches: Proceso de aplicar correcciones y mejoras a software y sistemas  operativos para resolver vulnerabilidades de seguridad y mejorar su funcionalidad 

∙ Antivirus: Software diseñado para detectar, prevenir y eliminar malware, incluyendo virus,  gusanos y troyanos, de dispositivos informáticos 

∙ Auditoría: Proceso de revisión y evaluación sistemática de las actividades y controles de  una organización para asegurar el cumplimiento de políticas, procedimientos y regulaciones 

∙ Autenticación: Proceso de verificación de la identidad de un usuario o dispositivo,  generalmente mediante contraseñas, tokens, biometría o autenticación multifactor 

∙ Autenticación Multifactor (MFA): Método de verificación que requiere más de un factor de  autenticación independiente (como contraseñas, tokens, y biometría) para conceder acceso a  un sistema 

∙ Ciberseguridad: Práctica de proteger sistemas, redes y programas contra ataques digitales  que buscan acceder, cambiar o destruir información sensible. 

∙ Cifrado: Técnica de seguridad que convierte datos legibles en un formato codificado,  accesible solo para aquellos con la clave de descifrado correspondiente



∙ Confidencialidad: Principio de seguridad que asegura que la información solo sea accesible  a personas autorizadas 

∙ Criptografía: Ciencia y técnica de cifrar y descifrar información para asegurar su protección  y confidencialidad durante la transmisión y almacenamiento 

∙ Disponibilidad: Garantía de que la información y los sistemas estén accesibles y operativos  cuando sean necesarios 

∙ Enmascarado de Datos: Técnica que altera datos sensibles para que no puedan ser  identificados, protegiéndolos en entornos de prueba y desarrollo 

∙ Etiquetado de la Información: Proceso de marcar datos y documentos con etiquetas de  clasificación para indicar su nivel de sensibilidad y las medidas de protección requeridas 

∙ Integridad: Propiedad que asegura que la información es precisa, completa y no ha sido  alterada de manera no autorizada 

∙ Seguridad Física: Protección de los activos de información contra accesos, daños o  interferencias físicas no autorizadas 

∙ Sistema de Gestión de Seguridad de la Información (SGSI): Conjunto de políticas,  procedimientos y controles establecidos para gestionar y proteger los activos de información  de una organización 

∙ VPN (Red Privada Virtual): Tecnología que crea una conexión segura y encriptada sobre  una red pública, como Internet, para proteger la privacidad y seguridad de los datos  transmitidos 

∙ Vulnerabilidad: Debilidad en un sistema o proceso que puede ser explotada por amenazas  para causar daño o pérdida de información 

4. POLÍTICA DE PROTECCIÓN DE LA INFORMACIÓN 

Se establecen medidas para proteger la información contra divulgación no autorizada,  modificación o eliminación, así como para garantizar su accesibilidad cuando sea necesario.  Abarca todas las medidas destinadas a proteger confidencialidad, integridad y disponibilidad  de los activos. Esto incluye la clasificación de la información según su sensibilidad, la  protección de registros y las buenas prácticas a la hora de intercambiar información.



5. CUMPLIMIENTO 

5.1 Control A.5.12 Clasificación de la información 

∙ Toda la información dentro de la organización deberá ser clasificada de acuerdo a su nivel  de sensibilidad y criticidad, con el fin de identificar y proteger los activos de información 

∙ Revisar y actualizar la clasificación de la información, asegurando que refleje  adecuadamente cualquier cambio en la sensibilidad, criticidad o valor de la información. Este  proceso se llevará a cabo al menos una vez al año o cuando se produzcan cambios  significativos en el entorno de la organización o en la naturaleza de los activos de información. 

5.2 Control A.5.13 Etiquetado de la información 

∙ Toda la información debe ser etiquetada claramente según su nivel de sensibilidad. Las  etiquetas deben indicar clasificaciones como Público, Interno, Confidencial y Restringido,  asegurando un manejo adecuado y protegiendo contra divulgaciones no autorizadas,  modificaciones o eliminaciones. 

5.3 Control A.5.14 Intercambio de la información 

∙ La información interna solo debe compartirse con las personas que tengan una necesidad  legítima de conocerla, utilizando canales seguros, como correo electrónico autorizados por la  organización y en ningún caso deberá compartirse en redes sociales o plataformas públicas,  salvo autorización previa. 

∙ Celebrar un acuerdo de confidencialidad tanto con empleados como con proveedores, para  identificar sus responsabilidades en caso de existir algún tipo de fuga de información. 

∙ El intercambio de información electrónica deberá contar con niveles fuertes de autenticación  como el doble factor y contraseñas robustas. 

∙ La organización implementará procedimientos de verificación y auditoría de transferencias  electrónicas de información sensible, para asegurar el cumplimiento de los protocolos de  seguridad y la protección continua de los datos. 

5.4 Control A.5.33 Protección de registros 

∙ Se deben utilizar mecanismos de protección, como el cifrado y las firmas digitales, para  asegurar la integridad de los registros, previniendo modificaciones no autorizadas y  garantizando que los registros sean precisos y confiables.



∙ La organización implementará procedimientos para la retención y eliminación segura de  registros, asegurando que se mantengan el tiempo necesario y se eliminen sin dejar  información residual recuperable. 

5.5 Control A.6.7 Trabajo remoto 

∙ Los empleados que trabajen de forma remota deben utilizar únicamente dispositivos  aprobados y gestionados por la organización, equipados con las medidas de seguridad  adecuadas, como cifrado de disco y software antivirus, para proteger los datos corporativos  contra pérdidas o ataques. 

∙ Todo acceso remoto a la red corporativa debe realizarse a través de canales seguros, como  redes privadas virtuales (VPN) y autenticación multifactor (MFA), para proteger contra accesos  no autorizados y garantizar la seguridad de la información transmitida. 

∙ La información sensible debe recibir la misma protección fuera de la oficina que dentro,  asegurando la protección contra accesos no autorizados y configurando pantallas y  dispositivos para que se bloqueen automáticamente cuando no estén en uso. 

5.6 Control A.8.1 Dispositivos terminales de usuario 

∙ Solo se permitirán dispositivos autorizados para el acceso y manejo de información  corporativa. Estos dispositivos deben estar registrados y gestionados dentro del inventario  empresarial y tener las placas de registro respectivas. 

∙ Todos los dispositivos terminales de usuario deben tener instalado y actualizado un software  de protección contra malware. Además, deben realizarse escaneos regulares para detectar y  eliminar cualquier amenaza, garantizando la integridad de la información y la seguridad del  dispositivo. 

∙ Todos los dispositivos deben mantenerse actualizados con los últimos parches de seguridad  y actualizaciones del sistema operativo y del software utilizado. 

∙ Cualquier incidente de seguridad, pérdida o robo de un dispositivo terminal debe ser  reportado inmediatamente a la organización, con el fin de tomar medidas rápidas para proteger  la información y minimizar el impacto. 

5.7 Control A.8.10 Borrado de información 

∙ Se utilizarán únicamente herramientas de borrado aprobadas y efectivas que cumplan con  los estándares de seguridad reconocidos, para asegurar que la información eliminada no  pueda ser recuperada mediante métodos convencionales.



∙ Todos los procesos de borrado seguro de información deberán ser documentados y  registrados adecuadamente, incluyendo los dispositivos afectados, las fechas de eliminación  y los resultados de las auditorías. Esta documentación servirá como evidencia de conformidad  y permitirá la trazabilidad de las acciones realizadas 

∙ La organización establecerá procedimientos formales y seguros para el borrado de  información en dispositivos de almacenamiento, tales como discos duros, unidades USB y  dispositivos móviles. 

5.8 Control A.8.11 Enmascarado de datos 

∙ Se utilizarán herramientas de enmascaramiento de datos aprobadas y efectivas,  supervisadas por el equipo de seguridad de la información, para proteger la información  sensible durante su procesamiento y almacenamiento en entornos de prueba. 

∙ Todo el personal involucrado en datos sensibles en entornos de prueba recibirá formación  sobre prácticas seguras de enmascaramiento, asegurando la comprensión de los riesgos  asociados. 

5.9 Control A.8.12 Prevención de filtración de datos 

∙ Se establecerán sistemas de monitoreo continuo para detectar actividades anómalas que  puedan indicar intentos de filtración de datos sensibles. Estos sistemas analizarán el tráfico de  red, los registros de auditoría y otros indicadores de actividad sospechosa, para identificar y  responder rápidamente a posibles brechas de seguridad. 

∙ Todos los dispositivos y medios de almacenamiento que contengan datos sensibles deben  estar protegidos contra pérdida, robo o acceso no autorizado, mediante el uso de cifrado,  contraseñas robustas y políticas de seguridad física. 

∙ En caso de contar con correo electrónico corporativo, se restringirá su acceso cuando el  funcionario se encuentre dentro de su periodo de vacaciones, y se restablecerá sus servicios,  previa solicitud realizadas por la mesa de ayuda. 

5.10 Control A.8.33 Información de prueba 

∙ La organización establecerá un proceso formal para la gestión de datos de prueba,  asegurando que se utilicen versiones ficticias de datos sensibles para pruebas de sistemas y  aplicaciones. Estos datos de prueba se manejarán de manera segura y solo serán accesibles  por personal autorizado para evitar la exposición involuntaria de información confidencial. 

∙ La información será protegida en las sesiones de prueba, contra accesos no autorizados y  se garantizará su integridad durante todo el ciclo de vida del desarrollo y las pruebas de  sistemas.



∙ Los datos de prueba se retendrán solo el tiempo necesario para los propósitos de prueba y  desarrollo, según las necesidades operativas. Una vez finalizado su uso, se eliminarán de  manera segura para prevenir la exposición no autorizada de información sensible. 

5.11 Control A.8.34 Protección de sistemas de información durante pruebas de auditoría 

∙ Durante las pruebas de auditoría, se implementarán controles específicos para proteger los  datos sensibles y confidenciales que puedan ser accesibles o utilizados, asegurando su  confidencialidad e integridad. Esto incluye el enmascaramiento de datos sensibles y la  limitación del acceso solo a personal autorizado. 

∙ Se establecerá una segregación adecuada de entornos de prueba y producción, así como  de datos utilizados durante las pruebas de auditoría, para prevenir la contaminación accidental  o la interferencia con sistemas en producción. 

∙ Durante las pruebas de auditoría, se implementarán sistemas de monitoreo continuo para  detectar y responder rápidamente a cualquier anomalía o actividad inusual que pueda indicar  un riesgo para la seguridad de la información. 

∙ Se realizará un reporte detallado y una evaluación de los resultados de las pruebas de  auditoría de sistemas de información, asegurando que se documenten adecuadamente las  vulnerabilidades identificadas y las recomendaciones para mejorar la seguridad. 

6. VIGENCIA DE LA POLÍTICA 

Esta política tendrá una vigencia indefinida y podrá ser modificada o actualizada por la  administración en el momento que se considere conveniente, conforme a la normatividad legal  vigente, la revisión será al menos una vez al año. 

7. VERIFICACIÓN DEL CUMPLIMIENTO DE LA POLÍTICA 

Le corresponde al Comité de Tecnologías de la Información y las Comunicaciones TIC realizar  la revisión de la implementación del sistema de gestión de seguridad de la información, de  acuerdo a las evaluaciones realizadas en los procesos de auditoría interna, liderada por el  oficial de seguridad de la información.