Política de seguridad de la información

OBJETIVO

La presente política tiene como objetivo establecer los lineamientos generales y específicos para proteger la confidencialidad, integridad y disponibilidad de la información en nuestra organización.

ALCANCE

Esta política aplica a todos los empleados, contratistas y terceros que manejen información de la organización, así como a todos los sistemas y servicios de información utilizados.

 

POLÍTICA DE ACCESO Y AUTENTICACIÓN

• Todo usuario deberá autenticarse de forma segura para acceder a los sistemas de información.
• Se establecerán políticas de contraseñas robustas y se requerirá su cambio periódico.
• Se implementarán medidas de autenticación de dos factores para acceder a información crítica.

CONTROL DE ACCESO

• Se establecerán roles y privilegios de acceso basados en el principio de privilegio mínimo.
• Se implementará un sistema de gestión de acceso para administrar los permisos de los usuarios.

SEGURIDAD FÍSICA Y AMBIENTAL

• Se implementarán medidas de seguridad física para proteger los activos de información de la organización.
• Se controlará el acceso físico a las instalaciones y a los equipos que manejan información sensible.

GESTIÓN DE ACTIVOS

• Se llevará un inventario de los activos de información de la organización y se establecerán medidas para protegerlos.
• Se establecerán políticas para el uso adecuado y la protección de los activos de información.

TRANSFERENCIA DE INFORMACIÓN

•  Se establecerán medidas para proteger la información durante su transferencia, como el uso de protocolos seguros de comunicación.

CONFIGURACIÓN Y GESTIÓN SEGURA DE DISPOSITIVOS FINALES DE USUARIO

• Se establecerán políticas de configuración segura para los dispositivos finales de usuario, como computadoras y dispositivos móviles.
• Se implementarán medidas de gestión de dispositivos para proteger la información almacenada en ellos.

SEGURIDAD DE RED 

• Se implementarán medidas de seguridad de red, como firewalls, detección de intrusiones y segmentación de redes.
• Se establecerán políticas de control de acceso a la red y monitoreo de actividad sospechosa.

GESTIÓN DE INCIDENTES 

• Se establecerá un proceso para la gestión de incidentes de seguridad de la información, incluyendo la notificación y respuesta ante incidentes.
• Se realizarán pruebas periódicas de los planes de respuesta a incidentes.

CRIPTOGRAFÍA

• Se utilizará la criptografía para proteger la información confidencial, tanto en reposo como en tránsito.
• Se establecerán políticas para el uso seguro de la criptografía y la gestión de las claves.

CLASIFICACIÓN Y TRATAMIENTO DE INFORMACIÓN

• Se establecerá un sistema de clasificación de la información para determinar su nivel de sensibilidad y los controles de seguridad necesarios.
• Se establecerán políticas para el tratamiento adecuado de la información según su clasificación.

GESTIÓN DE VULNERABILIDADES TÉCNICAS

• Se realizarán evaluaciones periódicas de vulnerabilidades en los sistemas y se tomarán medidas para mitigar los riesgos identificados.
• Se establecerán políticas para la gestión de parches de seguridad y actualizaciones de software.

DESARROLLO SEGURO

• Se seguirán prácticas de desarrollo seguro de software para garantizar que los sistemas sean resistentes a vulnerabilidades.
• Se realizarán pruebas de seguridad durante el desarrollo y antes de la puesta en producción de los sistemas.

RESPONSABILIDADES

• El departamento de seguridad de la información será responsable de implementar y hacer cumplir esta política.
• Todos los empleados son responsables de cumplir con esta política y reportar cualquier incidente de seguridad.

REVISIÓN DE LA POLÍTICA

• Esta política será revisada periódicamente cada 6 (seis) meses para asegurar su efectividad y cumplimiento.