1. Introducción
La Política de Seguridad de la Información (en adelante, Política) persigue la adopción de un conjunto de medidas destinadas a preservar la confidencialidad, integridad y disponibilidad de la información, que constituyen los tres componentes básicos de la seguridad de la información, y tiene como objetivo establecer los requisitos para proteger la información, los equipos y servicios tecnológicos que sirven de soporte para la mayoría de los procesos de negocio de SCA IT WORLD INTEGRAL SOLUTION, S.A. DE C.V. y Empresas Asociadas (en adelante, SCA).
Esta Política de Seguridad de la Información es la pieza angular por la que se rige el Cuerpo Normativo de Seguridad SCA. El Cuerpo Normativo de Seguridad (en adelante, CNS) es un conjunto de documentos a diferentes niveles que conforman los requerimientos, directrices y protocolos que se deben seguir en materia de seguridad. El CNS podrá ser desarrollado por mediante un conjunto de documentos (normas de uso, estándares normativos, procedimientos, manuales, guías, buenas prácticas, etc.) de tal manera que cubran todos los aspectos que se presentan en la Política, llegando a nivel de proceso operativo.
En la actualidad, las tecnologías de la información se enfrentan a un creciente número de amenazas, lo cual requiere de un esfuerzo constante por adaptarse y gestionar los riesgos introducidos por estas.
1.1. Objetivos
El objetivo principal de la presente Política de alto nivel es definir los principios y las reglas básicas para la gestión de la seguridad de la información. El fin último es lograr que se garanticen la seguridad de la información y minimicen los riesgos de naturaleza no financiera derivados de un impacto provocado por una gestión ineficaz de la misma.
1.2. Alcance
La Política es aplicable para SCA, Empresas Asociadas y empleados. La presente Política abarca toda la información que se maneje con motivo de cumplir con el objeto social de la compañía con independencia de la forma en la que se procese, quién acceda a ella, el medio que la contenga o el lugar en el que se encuentre, ya se trate de información impresa o almacenada electrónicamente.
La Política deberá estar disponible en la página web corporativa y en un repositorio común de SCA, de forma que sea accesible por todas las personas que participen.
2. Principios de la Política de la Información
La presente Política responde a las recomendaciones de las mejores prácticas de Seguridad de la Información recogidas en el Estándar Internacional ISO/IEC 27001, así como al cumplimiento de la legislación vigente en materia de protección de datos personales y de las normativas que, en el ámbito de la Seguridad de la Información, puedan afectar al SCA.
Además, se establecen los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de información:
Puesto que la Seguridad de la Información incumbe a todo el personal de SCA, esta Política deberá ser conocida, comprendida y asumida por todos sus empleados.
3. Compromiso de la dirección
La Dirección de SCA, consciente de la importancia de la seguridad de la información para llevar a cabo con éxito sus objetivos de negocio, se compromete a:
4. Formación y concienciación
SCA deberá asegurar que todo el personal recibe un nivel de formación y concienciación adecuado en materia de Seguridad de la Información en los plazos que exija la normativa vigente, especialmente en materia de confidencialidad y prevención de fugas de información.
Asimismo, los empleados deberán ser informados de las actualizaciones de las políticas y procedimientos de seguridad en los que se vean afectados y de las amenazas existentes, de manera que pueda garantizarse el cumplimiento de esta Política.
Por otro lado, los empleados tienen la obligación de obrar con diligencia con respecto a la información, debiéndose asegurar que dicha información no caiga en poder de empleados o terceros no autorizados.
5. Gestión de archivos
Se deberán tener identificados e inventariados los activos de información necesarios para la prestación de los procesos de negocio de SCA. Adicionalmente, se deberá mantener actualizado el inventario de activos.
5.1. Gestión de dispositivos BYOD o dispositivos personales
SCA permitirá la política conocida como BYOD (Bring Your Own Device), que permite a los empleados utilizar sus recursos o dispositivos móviles personales para acceder a recursos o información de SCA.
Adicionalmente, los usuarios deberán tener en cuenta una serie de requisitos establecidos en esta Política:
5.2. Gestión del ciclo de vida de la información
SCA deberá gestionar adecuadamente el ciclo de vida de la información, de manera que se puedan evitar usos incorrectos durante cualquiera de las fases.
El ciclo de vida de un activo de información consta de las siguientes fases:
SCA deberá identificar medidas de seguridad de acuerdo con la presente Política para asegurar la correcta gestión del ciclo de vida de los activos.
5.3. Gestión de las copias de seguridad
Se deberán realizar copias de seguridad de la información y se deberán verificar periódicamente. Se deberán realizar copias de seguridad con una periodicidad, al menos, semanal, salvo que en dicho período no se hubiese producido ninguna actualización. En su caso, se podrá establecer una frecuencia más alta de realización de copias de seguridad, si la información a salvaguardar es de impacto alto para SCA.
Como normal general, la frecuencia con la que se realizarán las copias de seguridad se determinará en función de la sensibilidad de las aplicaciones o datos, de acuerdo con los criterios de clasificación de información declarados en el anexo “Niveles de clasificación”.
Las copias de seguridad deberán recibir las mismas protecciones de seguridad que los datos originales, asegurándose su correcta conservación, así como los controles de acceso adecuados.
Como norma general y siempre que sea posible, se deberá requerir que la información en las copias de seguridad esté cifrada. Este requerimiento será obligatorio para determinados tipos de información confidencial.
Se deberán realizar pruebas de restauración de las copias de seguridad disponibles y de los procesos de restauración definidos, a fin de garantizar el funcionamiento correcto de los procesos.
Las copias de seguridad, tanto de archivos maestros como de aplicaciones y archivos de información se deberán ubicar en lugares seguros con acceso restringido.
6. Clasificación de la información
Se deberá definir un modelo de clasificación de la información que permita conocer e implantar las medidas técnicas y organizativas necesarias para mantener su disponibilidad, confidencialidad e integridad. El modelo de clasificación deberá integrar los requisitos y condiciones establecidos en el presente apartado de la Política.
6.1. Niveles de clasificación
En función de la sensibilidad de la información, SCA deberá catalogar la información en cinco niveles, véase la definición precisa en el Anexo “Niveles de clasificación”:
6.2. Gestión de información privilegiada
La información que se considere confidencial se deberá tratar con especial cuidado. Se deberán definir medidas de seguridad extraordinarias o adicionales para el adecuado tratado de la información privilegiada.
6.3. Privacidad de la información
SCA deberá asegurar la privacidad de los datos de carácter personal con el objetivo de proteger los derechos fundamentales de las personas físicas, especialmente su derecho al honor, intimidad personal y familiar y a la propia imagen, mediante el establecimiento de medidas para regular el tratamiento de los datos.
SCA deberá cumplir con la legislación vigente en materia de protección de datos personales en función de la jurisdicción en la que esté establecida y opere y deberá incluir las medidas necesarias para cumplir con la normativa.
7. Prevención de fugas de información
La fuga de información es una salida no controlada de información (intencionada o no intencionada) que provoca que la misma llegue a personas no autorizadas o que su propietario pierda el control sobre el acceso a la misma por parte de terceros.
Se deberán analizar los vectores de fuga de información, en función de las condiciones y operativa de trabajo de SCA. Para ello, se deberán identificar los activos cuya fuga supone mayor riesgo para cada sociedad, basándose en la criticidad del activo y el nivel de clasificación que la información tenga. Además, se deberán identificar las posibles vías de robo, pérdida o fuga de cada uno de los activos en sus diferentes estados del ciclo de vida.
SCA deberá definir procedimientos para evitar la ocurrencia de las situaciones que puedan provocar la pérdida de información, así como procedimientos de actuación en caso de que se notifique una fuga de información.
Se deberá asegurar la formación y capacitación de todos los empleados en torno a buenas prácticas para la prevención de fugas de información.
8. Control de acceso
Todos los sistemas de información de SCA deberán contar con un sistema de control de acceso a los mismos. Asimismo, el control de acceso se enfoca en asegurar el acceso de los usuarios y prevenir el acceso no autorizado a la información, incluyendo medidas como la protección mediante contraseñas
8.1. Requisitos de negocio para el control de acceso
SCA deberá asumir una serie de requisitos de negocio para el control de acceso, que serán, al menos, los siguientes:
8.2. Derechos de acceso
SCA deberá implementar controles de acceso que garanticen que a los usuarios sólo se les otorguen privilegios y derechos necesarios para desempeñar su función.
Los derechos de acceso deberán ser establecidos en función de:
Asimismo, ningún usuario deberá poder acceder por sí mismo a un sistema de información controlado sin la aprobación del responsable del propio usuario (o de la persona designada).
8.3. Control de acceso lógico
SCA deberá establecer una Política de contraseñas adecuada y alineada con las buenas prácticas en seguridad. La política de contraseñas definirá los requisitos de las contraseñas y los plazos de mantenimiento de una misma contraseña.
La Política de contraseñas deberá ser conocida por todos los empleados de SCA.
8.4. Teletrabajo
El equipo utilizado para la conexión en la modalidad de trabajo en remoto podrá ser propiedad del empleado o proporcionado por SCA. En cualquier caso, es obligatorio que el equipo cumpla con los siguientes requerimientos de seguridad:
El teletrabajo desde un equipo propio del trabajador requerirá de todas las medidas de seguridad oportunas, con el objetivo de que el trabajo en remoto no suponga una amenaza para la seguridad de la información de SCA.
9. Seguridad en trabajo en la nube o cloud
SCA deberá mantener una política de trabajo en la nube o cloud computing que establezca las medidas de seguridad adecuadas para la confidencialidad, integridad y disponibilidad de la información. Dependiendo de tipo de modelo de servicio en la nube, se deberán aplicar diferentes medidas de seguridad:
10. Seguridad en los Proveedores
Se deberá poner especial atención en evaluar la criticidad de todos los servicios susceptibles de ser subcontratados de manera que puedan identificarse aquellos que sean relevantes desde el punto de vista de la seguridad de la información, ya sea por su naturaleza, la sensibilidad de los datos que deban tratarse o la dependencia sobre la continuidad de negocio.
Sobre los proveedores de estos servicios se deberán cuidar los procesos de selección, requerimientos contractuales como la terminación contractual, la monitorización de los niveles de servicio, la devolución de datos y las medidas de seguridad implantadas por dicho proveedor, que deberán ser, al menos, equivalentes a las que se establecen en la presente Política.
11. Gestión de insidentes
Todos los empleados de SCA tienen la obligación y responsabilidad de la identificación y notificación al responsable de seguridad de la sociedad de cualquier incidente o delito que pudiera comprometer la seguridad de su información. Asimismo, SCA deberá implementar procedimientos para la correcta gestión de los incidentes detectados.
12. Continuidad de negocio
Respondiendo a requerimientos de calidad y buenas prácticas, SCA deberá disponer de un Plan de Continuidad de Negocio como parte de su estrategia para garantizar la continuidad en la prestación de sus servicios esenciales o críticos y el adecuado manejo de los impactos sobre el negocio ante posibles escenarios de crisis, proporcionando un marco de referencia para que la sociedad actúe en caso de ser necesario.
13. Cumplimiento del personal
El personal de SCA deberá comprometerse personalmente en dar cumplimiento a la política de seguridad de la información y con la firma del ACUERDO DE CONFIDENCIALIDAD Y NO DIVULGACIÓN DE INFORMACIÓN.
14. Gestión de Excepciones
Cualquier excepción a la presente Política de Seguridad de la Información deberá ser registrada e informada al responsable de la Seguridad de la Información. Estas excepciones serán analizadas para evaluar el riesgo que podrían implicar.
15. Sanciones disciplinarias
Cualquier violación de la presente Política de Seguridad de la Información puede resultar en la toma de las acciones disciplinarias correspondientes de acuerdo con el proceso interno de SCA. Es responsabilidad de todos los empleados de SCA notificar al responsable de Seguridad de la Información de cualquier evento o situación que pudiera suponer el incumplimiento de alguna de las directrices definidas por la presente Política.
16. Revisión de la Política
La aprobación de esta Política implica que su implantación contará con el apoyo de la Dirección para lograr todos los objetivos establecidos en la misma, como también para cumplir con todos sus requisitos.
La presente Política de Seguridad de la Información, será revisada y aprobada por la Dirección, asegurando así que la Política permanece adaptada en todo momento a la realidad de SCA.
17. Anexo: Niveles de clasificación