Política de Seguridad de la Información

1. Objetivo

Establecer un marco de gestión que garantice la confidencialidad, integridad y disponibilidad de la información, así como la capacidad de recuperación ante incidentes o desastres.

2. Alcance

Aplica a todo el personal (empleados, contratistas y terceros) que acceda a:

  • Instalaciones físicas de la empresa.

  • Sistemas, redes, hardware y software corporativos.

  • Información sensible bajo custodia de la organización.

3. Principios y Lineamientos

Control de Acceso

  • Solo el personal autorizado puede acceder a sistemas y datos, según su rol.

Uso Aceptable

  • Equipos, redes y software deben usarse exclusivamente para fines autorizados por la empresa.

Gestión de Contraseñas

  • Requisitos mínimos: 12 caracteres (mayúsculas, minúsculas, números y símbolos).

  • Cambio obligatorio cada 90 días, sin reutilización.

Licenciamiento de Software

  • Solo se permite software con licencia válida en los sistemas corporativos.

4. Gestión de Activos y Actualizaciones

  • Inventario actualizado de recursos (hardware, software, dispositivos de red).

  • Actualizaciones constantes para corregir vulnerabilidades.

5. Monitoreo y Detección de Intrusiones

  • Sistemas de detección de intrusos (IDS) para identificar comportamientos sospechosos.

  • Registro y monitoreo continuo de accesos y uso de recursos.

6. Concientización y Formación

  • Capacitación anual obligatoria en seguridad informática para todo el personal.

  • Comunicación clara de responsabilidades y consecuencias por incumplimiento.

7. Gestión de Incidentes

  • Plan de respuesta con etapas claras: registro, evaluación, contención, notificación y recuperación.

  • Responsables designados (Comité de Seguridad o CISO).

8. Continuidad Operativa y Recuperación

  • Plan de Recuperación ante Desastres (DRP) y Continuidad del Negocio (BCP) documentados y probados periódicamente.

  • Copias de seguridad periódicas y pruebas de restauración.

9. Medidas Físicas y Ambientales

  • Control de acceso físico a instalaciones críticas.

  • Protección de equipos contra robo, daños o amenazas ambientales.

10. Responsabilidades

  • Alta dirección: Aprueba y respalda la política.

  • Comité de Seguridad: Gestiona, revisa y actualiza la política.

  • Empleados y proveedores: Deben firmar acuerdos de confidencialidad y cumplir las normas.

11. Sanciones

El incumplimiento puede derivar en:

  • Suspensión.

  • Terminación de contrato.

  • Acciones legales, según corresponda.

12. Revisión y Mejora Continua

  • Revisión anual o ante cambios significativos.

  • Registro de versiones, fechas de aprobación y actualizaciones.