Política de Seguridad de la Información

1. COMPROMISO DE LA ALTA DIRECCIÓN:

La alta dirección declara su compromiso con la seguridad de la información y la política reflejada en
este documento.

Como parte del mismo también declara su compromiso con:

– El cumplimiento de los requisitos de seguridad de la información tanto legales, derivados de normas voluntarias aplicadas en el SIGI, de relaciones contractuales o acuerdos corporativos.

– La implantación y mejora continua del SIGI

2. DEFINICION DE SEGURIDAD DE LA INORMACION:

Es el nivel de confianza que la organización desea tener de su capacidad para preservar la confidencialidad, integridad y disponibilidad de la información. Tiene como objetivo proteger el recurso información de una amplia gama de amenazas, con el fin de asegurar la continuidad del negocio, minimizar el daño y, cumplir su misión y objetivos estratégicos.

3. RESUMEN DE LA POLÍTICA

La información debe ser siempre protegida, cualquiera que sea su forma de ser compartida, comunicada o almacenada.

4. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN:

  1. Comprender y tratar los riesgos operacionales y estratégicos en seguridad de la información para que permanezcan en niveles aceptables para la organización.
  2. La protección de la confidencialidad de la información relacionada con los clientes y con las partes interesadas.
  3. La conservación de la integridad de los registros y soportes de la información.
  4. Entender y dar cobertura a las necesidades de todas las partes interesadas.
  5. Establecer las expectativas de la Dirección con respecto al correcto uso que el personal haga de los recursos de información, así como de las medidas que se deben adoptar para la protección de los mismos.

5. PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN:

  1. Los activos de información involucrados en cada proceso de la actividad de la empresa serán identificados y se analizará el nivel de riesgo al que están expuestos.
  2. Esta organización afronta la toma de riesgos y tolera aquellos que, en base a la información disponible, son comprensibles, controlados y tratados cuando es necesario. Los detalles de la metodología adoptada para la evaluación del riesgo y su tratamiento se encuentran descritos en el SIGI.
  3. El acceso y tratamiento de la información se realizará mediante un control de usuarios, permisos y cifrado de información, especificados mediante procedimientos adecuados descritos en el SGI.
  4. Las comunicaciones y transmisiones de información con el exterior se realizarán por canales o redes que garanticen la seguridad de la información descritos en el SIGI
  5. La empresa instrumentará procedimientos de copias de seguridad que garantice la integridad de la información custodiada.
  6. Todo el personal será informado y responsable de la seguridad de la información, según sea relevante para el desempeño de su trabajo.
  7. Se harán disponibles informes regulares con información de la situación de la seguridad.

7. RESPONSABILIDADES:

  1. El equipo directivo es el responsable de asegurar que la seguridad de la información se gestiona adecuadamente en toda la organización.
  2. Cada responsable de departamento garantizará que las personas que trabajan bajo su control protegen la información de acuerdo con las normas establecidas por la organización.
  3. El responsable de seguridad asesora al equipo directivo, proporciona apoyo especializado al personal de la organización y garantiza que los informes sobre la situación de la seguridad de la información están disponibles.
  4. Cada miembro del personal tiene la responsabilidad de mantener la seguridad de información dentro de las actividades relacionadas con su trabajo.

8. DESVIACIONES Y EXCEPCIONES:

  1. Los riesgos en seguridad de la información serán objeto de seguimiento y se adoptarán medidas relevantes cuando existan cambios que impliquen un nivel de riesgo no aceptable.
  2. Las situaciones que puedan exponer a la organización a la violación de las leyes y normas legales no serán toleradas.


Indicadores clave:
Los incidentes en seguridad de la información no se traducirán en costes graves e inesperados, o en una grave perturbación de los servicios y actividades comerciales.

La aceptación del cliente de los productos o servicios no se verá afectada negativamente por aspectos relacionados con la seguridad de la información.

9. POLITICAS TEMÁTICAS DE SEGURIDAD DE LA INFORMACIÓN:

En relación a los objetivos y principios establecidos en este documento, las siguientes políticas temáticas
se definen mediante el correspondiente Procedimiento General del SIGI:

  1. Control de acceso
  2. Clasificación de la información
  3. Seguridad física y ambiental
  4. Copias de seguridad
  5. Gestión de vulnerabilidades y amenazas
  6. Seguridad de las comunicaciones
  7. Gestión de activos
  8. Cifrado y encriptación de la información.

Este sitio emplea cookies para asegurarte la mejor experiencia de navegación

Aceptar y cerrar
Rechazar

Control de apps

Y también dispositivos: proporcionada por software que impide que las aplicaciones o dispositivos utilizados por los empleados realicen acciones que puedan poner la red corporativa o el equipo en riesgo.

Cortafuegos

También conocido como Firewall. Sistema de seguridad para bloquear accesos no autorizados a un ordenador mientras sigue permitiendo la comunicación de tu ordenador con otros servicios autorizados.

Detección de intrusiones

Un sistema de detección de intrusiones es un programa de detección de accesos no autorizados a un computador o a una red. El IDS suele tener sensores virtuales con los que el núcleo del IDS puede obtener datos externos

Filtrado de contenidos

Programa diseñado para controlar qué contenido se permite mostrar, especialmente para restringir el acceso a ciertos materiales de la Web. El filtro de contenido determina qué contenido estará disponible en una máquina o red particular

Antivirus

Programas cuyo objetivo es detectar y eliminar virus informáticos.​ Con el paso del tiempo, los antivirus han evolucionado hacia programas más avanzados que además de buscar y detectar virus informáticos consiguen bloquearlos, desinfectar archivos y prevenir una infección de estos

Antispam

Soluciones que permiten a los usuarios prevenir o acotar la entrega de spam. Estas analizan automáticamente todos los correos electrónicos entrantes enviados a un buzón de correo para este propósito.

Cifrado de correo

Permite proteger el contenido de ser leído por entidades a las que no van dirigidos los mensajes. El cifrado del correo electrónico también puede incluir la autenticación.

Voz y vídeo IP

Voz sobre protocolo de internet o Voz por protocolo de internet, también llamado voz sobre IP, voz IP, vozIP o VoIP, es un conjunto de recursos que hacen posible que la señal de voz viaje a través de Internet empleando el protocolo IP.

Redes distribuidas

Una red distribuida es una topología de red caracterizada por la ausencia de un centro individual o colectivo. Los nodos se vinculan unos a otros de modo que ninguno de ellos, ni siquiera un grupo estable de ellos, tiene poder de filtro sobre la información que se transmite en la red.

Protección

Contra keyloggers: software o hardware que registra las pulsaciones que se realizan en el teclado. Contra phishing: conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza. Contra intrusiones: acceso no autorizado a un sistema informático con el fin de leer sus datos internos o utilizar sus recursos

Entornos inalámbricos

Entornos inalámbricos​ seguros: a medida que crecen las redes abiertas de Wi-Fi, no solo se puede robar información personal, sino también esparcir malware a dispositivos en la red.

Gestión de trafico (L7)

Metodología para interceptar, inspeccionar y traducir el tráfico de la red, dirigiéndolo al recurso óptimo en función de políticas comerciales específicas.

Fugas de información

Protección frente a salidas no controladas de información, que hacen que esta llegue a personas no autorizadas o sobre la que su responsable pierde el control.

Acceso remoto seguro

El acceso remoto seguro es un término amplio que alberga varias estrategias de seguridad. Puede referirse a cualquier política o solución de seguridad que evite el acceso no autorizado a su red o a sus datos delicados.

Backup continuo

Sistemas configurados para almacenar y controlar una copia continua de toda la información que se mueve entre equipos o en el propio equipo. Así, siempre hay una copia física de toda la información.

Protección navegación

Ayuda a navegar por Internet de forma segura mediante la proporción de puntuaciones de seguridad para los sitios web en su navegador y bloqueando el acceso a aquellos sitios web que se clasifique como perjudicial.

Despliegue aplicaciones

Consiste generalmente en recuperar el código del sistema de control de versiones, copiarlo a la máquina o máquinas de destino y realizar ciertas tareas como la instalación/actualización de dependencias.

Consolidación servidores

Reestructuración de la infraestructura de una organización con el fin de reducir costos (Mantenimiento, consumo de energía y administración), volviéndose el área de TI más eficiente y eficaz, mejorando el control de sus recursos mediante la optimización

Virtualizacion

Utiliza el software para imitar las características del hardware y crear un sistema informático virtual. Esto permite a las organizaciones de TI ejecutar más de un sistema virtual, y múltiples sistemas operativos y aplicaciones, en un solo servidor.

Optimización

Lograr que un sistema, ya sea software o hardware, funcione con la mayor velocidad y estabilidad posible. Una forma de lograr lo anterior podría ser, por ejemplo, eliminar programas que ya no usados en un ordenador.

Balanceo de servidores

Concepto usado en informática que se refiere a la técnica usada para compartir el trabajo a realizar entre varios procesos, ordenadores, discos u otros recursos.

Aceleración y compresión

Soluciona la congestión y la latencia de la red implantando técnicas de conservación de la banda ancha.

Autenticación

Es el proceso que debe seguir un usuario para tener acceso a los recursos de un sistema o de una red de computadores. Este proceso implica identificación (decirle al sistema quién es) y autenticación (demostrar que el usuario es quien dice ser).