• Av. Pdte. Masaryk 29 1er. Piso, Polanco V Secc. C.P.11560 CDMX.
  • +52 1 55 2766 2718 Llame ahora
  • De lunes a Viernes - de 9.00 - 18.00 Cerrado Sábado y Domingo

Políticas de seguridad de la información

1. Introducción

La Política de Seguridad de la Información (en adelante, Política) persigue la adopción de un conjunto de medidas destinadas a preservar la confidencialidad, integridad y disponibilidad de la información, que constituyen los tres componentes básicos de la seguridad de la información, y tiene como objetivo establecer los requisitos para proteger la información, los equipos y servicios tecnológicos que sirven de soporte para la mayoría de los procesos de negocio de SCA IT WORLD INTEGRAL SOLUTION, S.A. DE C.V. y Empresas Asociadas (en adelante, SCA).

Esta Política de Seguridad de la Información es la pieza angular por la que se rige el Cuerpo Normativo de Seguridad SCA. El Cuerpo Normativo de Seguridad (en adelante, CNS) es un conjunto de documentos a diferentes niveles que conforman los requerimientos, directrices y protocolos que se deben seguir en materia de seguridad. El CNS podrá ser desarrollado por mediante un conjunto de documentos (normas de uso, estándares normativos, procedimientos, manuales, guías, buenas prácticas, etc.) de tal manera que cubran todos los aspectos que se presentan en la Política, llegando a nivel de proceso operativo.

En la actualidad, las tecnologías de la información se enfrentan a un creciente número de amenazas, lo cual requiere de un esfuerzo constante por adaptarse y gestionar los riesgos introducidos por estas.

1.1. Objetivos

El objetivo principal de la presente Política de alto nivel es definir los principios y las reglas básicas para la gestión de la seguridad de la información. El fin último es lograr que se garanticen la seguridad de la información y minimicen los riesgos de naturaleza no financiera derivados de un impacto provocado por una gestión ineficaz de la misma.

1.2. Alcance

La Política es aplicable para SCA, Empresas Asociadas y empleados. La presente Política abarca toda la información que se maneje con motivo de cumplir con el objeto social de la compañía con independencia de la forma en la que se procese, quién acceda a ella, el medio que la contenga o el lugar en el que se encuentre, ya se trate de información impresa o almacenada electrónicamente.

La Política deberá estar disponible en la página web corporativa y en un repositorio común de SCA, de forma que sea accesible por todas las personas que participen.

2. Principios de la Política de la Información

La presente Política responde a las recomendaciones de las mejores prácticas de Seguridad de la Información recogidas en el Estándar Internacional ISO/IEC 27001, así como al cumplimiento de la legislación vigente en materia de protección de datos personales y de las normativas que, en el ámbito de la Seguridad de la Información, puedan afectar al SCA.

Además, se establecen los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de información:

  • Alcance estratégico: La seguridad de la información deberá contar con el compromiso y apoyo de todos los niveles directivos de SCA de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas para conformar un marco de trabajo completamente coherente y eficaz.
  • Seguridad integral: La seguridad de la información se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información
  • Gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad de la información. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que están expuestos y la eficacia y el coste de las medidas de seguridad.
  • Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
  • Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección.

Puesto que la Seguridad de la Información incumbe a todo el personal de SCA, esta Política deberá ser conocida, comprendida y asumida por todos sus empleados.

3. Compromiso de la dirección

La Dirección de SCA, consciente de la importancia de la seguridad de la información para llevar a cabo con éxito sus objetivos de negocio, se compromete a:

  • Promover en la organización las funciones y responsabilidades en el ámbito de seguridad de la información.
  • Facilitar los recursos adecuados para alcanzar los objetivos de seguridad de la información.
  • Impulsar la divulgación y la concienciación de la Política de Seguridad de la Información entre los empleados.
  • Exigir el cumplimiento de la Política, de la legislación vigente y de los requisitos de los reguladores en el ámbito de la seguridad de la información.
  • Considerar los riesgos de seguridad de la información en la toma de decisiones.

4. Formación y concienciación

SCA deberá asegurar que todo el personal recibe un nivel de formación y concienciación adecuado en materia de Seguridad de la Información en los plazos que exija la normativa vigente, especialmente en materia de confidencialidad y prevención de fugas de información.

Asimismo, los empleados deberán ser informados de las actualizaciones de las políticas y procedimientos de seguridad en los que se vean afectados y de las amenazas existentes, de manera que pueda garantizarse el cumplimiento de esta Política.

Por otro lado, los empleados tienen la obligación de obrar con diligencia con respecto a la información, debiéndose asegurar que dicha información no caiga en poder de empleados o terceros no autorizados.

5. Gestión de archivos

Se deberán tener identificados e inventariados los activos de información necesarios para la prestación de los procesos de negocio de SCA. Adicionalmente, se deberá mantener actualizado el inventario de activos.

5.1. Gestión de dispositivos BYOD o dispositivos personales

SCA permitirá la política conocida como BYOD (Bring Your Own Device), que permite a los empleados utilizar sus recursos o dispositivos móviles personales para acceder a recursos o información de SCA.

Adicionalmente, los usuarios deberán tener en cuenta una serie de requisitos establecidos en esta Política:

  • Se deberán aplicar las mismas medidas y configuraciones de seguridad a los dispositivos BYOD que tratan información igual que al resto de dispositivos de SCA.
  • El usuario será responsable de los equipos BYOD.
  • Los usuarios deberán mantener actualizado el dispositivo BYOD personal donde traten información de cualquier tipo de SCA. Asimismo, deberán tener instaladas aplicaciones de seguridad para evitar brechas de seguridad en esos dispositivos.
  • Los empleados deberán recibir autorización de su responsable de área para utilizar dispositivos BYOD.
  • Cualquier incidencia que pueda afectar a la confidencialidad, integridad o disponibilidad de estos dispositivos debe ser reportada al responsable de seguridad.

5.2. Gestión del ciclo de vida de la información

SCA deberá gestionar adecuadamente el ciclo de vida de la información, de manera que se puedan evitar usos incorrectos durante cualquiera de las fases.

El ciclo de vida de un activo de información consta de las siguientes fases:

  1. Creación o recolección: esta fase se ocupa de los registros en su punto de origen. Esto podría incluir su creación por un miembro de SCA o la recepción de información desde una fuente externa. Incluye correspondencia, formularios, informes, dibujos, entrada/salida del ordenador u otras fuentes.
  2. Distribución: es el proceso de gestión de la información una vez que se ha creado o recibido. Esto incluye tanto la distribución interna como externa, ya que la información que sale de SCA se convierte en un registro de una transacción con terceros.
  3. Uso o acceso: se lleva a cabo después de que la información se distribuya internamente, y puede generar decisiones de negocio, generar nueva información, o servir para otros fines. Detalla el conjunto de usuarios autorizados por SCA a acceder a la información.
  4. Almacenamiento: es el proceso de organizar la información en una secuencia predeterminada y la creación de un sistema de gestión para garantizar su utilidad dentro de SCA. Si no se establece un método de almacenamiento para la presentación de información, su recuperación y uso resultaría casi imposible.
  5. Destrucción: establece las prácticas para la eliminación de la información que ha cumplido los periodos de retención definidos y la información que ha dejado de ser útil para SCA. Los periodos de conservación de la información deberán estar basados en los requisitos normativos, legales y jurídicos que afectan al Grupo ACS. También deberán tenerse en cuenta las necesidades de negocio. Si ninguno de estos requisitos exige que la información sea conservada, deberá ser desechada mediante medios que garanticen su confidencialidad durante el proceso de destrucción.

SCA deberá identificar medidas de seguridad de acuerdo con la presente Política para asegurar la correcta gestión del ciclo de vida de los activos.

5.3. Gestión de las copias de seguridad

Se deberán realizar copias de seguridad de la información y se deberán verificar periódicamente. Se deberán realizar copias de seguridad con una periodicidad, al menos, semanal, salvo que en dicho período no se hubiese producido ninguna actualización. En su caso, se podrá establecer una frecuencia más alta de realización de copias de seguridad, si la información a salvaguardar es de impacto alto para SCA.

Como normal general, la frecuencia con la que se realizarán las copias de seguridad se determinará en función de la sensibilidad de las aplicaciones o datos, de acuerdo con los criterios de clasificación de información declarados en el anexo “Niveles de clasificación”.

Las copias de seguridad deberán recibir las mismas protecciones de seguridad que los datos originales, asegurándose su correcta conservación, así como los controles de acceso adecuados.

Como norma general y siempre que sea posible, se deberá requerir que la información en las copias de seguridad esté cifrada. Este requerimiento será obligatorio para determinados tipos de información confidencial.

Se deberán realizar pruebas de restauración de las copias de seguridad disponibles y de los procesos de restauración definidos, a fin de garantizar el funcionamiento correcto de los procesos.

Las copias de seguridad, tanto de archivos maestros como de aplicaciones y archivos de información se deberán ubicar en lugares seguros con acceso restringido.

6. Clasificación de la información

Se deberá definir un modelo de clasificación de la información que permita conocer e implantar las medidas técnicas y organizativas necesarias para mantener su disponibilidad, confidencialidad e integridad. El modelo de clasificación deberá integrar los requisitos y condiciones establecidos en el presente apartado de la Política.

6.1. Niveles de clasificación

En función de la sensibilidad de la información, SCA deberá catalogar la información en cinco niveles, véase la definición precisa en el Anexo “Niveles de clasificación”:

  • Uso público
  • Difusión limitada
  • Información confidencial

6.2. Gestión de información privilegiada

La información que se considere confidencial se deberá tratar con especial cuidado. Se deberán definir medidas de seguridad extraordinarias o adicionales para el adecuado tratado de la información privilegiada.

6.3. Privacidad de la información

SCA deberá asegurar la privacidad de los datos de carácter personal con el objetivo de proteger los derechos fundamentales de las personas físicas, especialmente su derecho al honor, intimidad personal y familiar y a la propia imagen, mediante el establecimiento de medidas para regular el tratamiento de los datos.

SCA deberá cumplir con la legislación vigente en materia de protección de datos personales en función de la jurisdicción en la que esté establecida y opere y deberá incluir las medidas necesarias para cumplir con la normativa.

7. Prevención de fugas de información

La fuga de información es una salida no controlada de información (intencionada o no intencionada) que provoca que la misma llegue a personas no autorizadas o que su propietario pierda el control sobre el acceso a la misma por parte de terceros.

Se deberán analizar los vectores de fuga de información, en función de las condiciones y operativa de trabajo de SCA. Para ello, se deberán identificar los activos cuya fuga supone mayor riesgo para cada sociedad, basándose en la criticidad del activo y el nivel de clasificación que la información tenga. Además, se deberán identificar las posibles vías de robo, pérdida o fuga de cada uno de los activos en sus diferentes estados del ciclo de vida.

SCA deberá definir procedimientos para evitar la ocurrencia de las situaciones que puedan provocar la pérdida de información, así como procedimientos de actuación en caso de que se notifique una fuga de información.

Se deberá asegurar la formación y capacitación de todos los empleados en torno a buenas prácticas para la prevención de fugas de información.

8. Control de acceso

Todos los sistemas de información de SCA deberán contar con un sistema de control de acceso a los mismos. Asimismo, el control de acceso se enfoca en asegurar el acceso de los usuarios y prevenir el acceso no autorizado a la información, incluyendo medidas como la protección mediante contraseñas

8.1. Requisitos de negocio para el control de acceso

SCA deberá asumir una serie de requisitos de negocio para el control de acceso, que serán, al menos, los siguientes:

  • Los usuarios deberán ser únicos y no podrán ser compartidos. Asimismo, los privilegios de los usuarios serán inicialmente asignados mediante el principio de mínimo privilegio.
  • Se prohibirá el uso de usuarios genéricos. En su defecto, se utilizarán cuentas de usuario asociadas a la identidad nominal de la persona asociada.
  • Siempre que sea posible, se deberá de disponer de un doble factor de autenticación (MFA) para el acceso a los sistemas de información, siendo obligatorio para aquellos que puedan ser accesibles desde redes públicas.

8.2. Derechos de acceso

SCA deberá implementar controles de acceso que garanticen que a los usuarios sólo se les otorguen privilegios y derechos necesarios para desempeñar su función.

Los derechos de acceso deberán ser establecidos en función de:

  • Control de acceso basado en roles: deberán establecerse perfiles o roles de acceso por aplicación y/o sistemas para poder asignar los mismos a los diferentes usuarios.
  • Necesidad de saber: Solo se permitirá el acceso a un recurso cuando exista una necesidad legítima para el desarrollo de la actividad.
  • Privilegios mínimos: los permisos otorgados a los usuarios deberán ser los mínimos.
  • Segregación de funciones: deberá asegurarse una correcta segregación de funciones para desarrollar y asignar derechos de acceso.

Asimismo, ningún usuario deberá poder acceder por sí mismo a un sistema de información controlado sin la aprobación del responsable del propio usuario (o de la persona designada).

8.3. Control de acceso lógico

SCA deberá establecer una Política de contraseñas adecuada y alineada con las buenas prácticas en seguridad. La política de contraseñas definirá los requisitos de las contraseñas y los plazos de mantenimiento de una misma contraseña.

La Política de contraseñas deberá ser conocida por todos los empleados de SCA.

8.4. Teletrabajo

El equipo utilizado para la conexión en la modalidad de trabajo en remoto podrá ser propiedad del empleado o proporcionado por SCA. En cualquier caso, es obligatorio que el equipo cumpla con los siguientes requerimientos de seguridad:

  1. Capacidad de realizar una conexión a través de una VPN.
  2. Disponer de un sistema operativo actualizado con los últimos parches y actualizaciones de seguridad.
  3. Software antivirus instalado
  4. Software de firewall/cortafuegos personal instalado.

El teletrabajo desde un equipo propio del trabajador requerirá de todas las medidas de seguridad oportunas, con el objetivo de que el trabajo en remoto no suponga una amenaza para la seguridad de la información de SCA.

9. Seguridad en trabajo en la nube o cloud

SCA deberá mantener una política de trabajo en la nube o cloud computing que establezca las medidas de seguridad adecuadas para la confidencialidad, integridad y disponibilidad de la información. Dependiendo de tipo de modelo de servicio en la nube, se deberán aplicar diferentes medidas de seguridad:

  • Infraestructura: en primer lugar, se deberá asegurar que el Proveedor monitoriza el entorno para detectar cambios no autorizados. Además, se deberán establecer fuertes niveles de autenticación y control de acceso para los administradores y las operaciones que estos realicen. Por último, las instalaciones y/o configuraciones de los elementos comunes deberán estar registrados y conectados con el objetivo de obtener la trazabilidad adecuada.
  • Plataforma: de forma adicional a las medidas indicadas en el modelo de servicio de Infraestructura, el Proveedor del servicio deberá proporcionar mecanismos de seguridad correspondientes.

10. Seguridad en los Proveedores

Se deberá poner especial atención en evaluar la criticidad de todos los servicios susceptibles de ser subcontratados de manera que puedan identificarse aquellos que sean relevantes desde el punto de vista de la seguridad de la información, ya sea por su naturaleza, la sensibilidad de los datos que deban tratarse o la dependencia sobre la continuidad de negocio.

Sobre los proveedores de estos servicios se deberán cuidar los procesos de selección, requerimientos contractuales como la terminación contractual, la monitorización de los niveles de servicio, la devolución de datos y las medidas de seguridad implantadas por dicho proveedor, que deberán ser, al menos, equivalentes a las que se establecen en la presente Política.

11. Gestión de insidentes

Todos los empleados de SCA tienen la obligación y responsabilidad de la identificación y notificación al responsable de seguridad de la sociedad de cualquier incidente o delito que pudiera comprometer la seguridad de su información. Asimismo, SCA deberá implementar procedimientos para la correcta gestión de los incidentes detectados.

12. Continuidad de negocio

Respondiendo a requerimientos de calidad y buenas prácticas, SCA deberá disponer de un Plan de Continuidad de Negocio como parte de su estrategia para garantizar la continuidad en la prestación de sus servicios esenciales o críticos y el adecuado manejo de los impactos sobre el negocio ante posibles escenarios de crisis, proporcionando un marco de referencia para que la sociedad actúe en caso de ser necesario.

13. Cumplimiento del personal

El personal de SCA deberá comprometerse personalmente en dar cumplimiento a la política de seguridad de la información y con la firma del ACUERDO DE CONFIDENCIALIDAD Y NO DIVULGACIÓN DE INFORMACIÓN.

14. Gestión de Excepciones

Cualquier excepción a la presente Política de Seguridad de la Información deberá ser registrada e informada al responsable de la Seguridad de la Información. Estas excepciones serán analizadas para evaluar el riesgo que podrían implicar.

15. Sanciones disciplinarias

Cualquier violación de la presente Política de Seguridad de la Información puede resultar en la toma de las acciones disciplinarias correspondientes de acuerdo con el proceso interno de SCA. Es responsabilidad de todos los empleados de SCA notificar al responsable de Seguridad de la Información de cualquier evento o situación que pudiera suponer el incumplimiento de alguna de las directrices definidas por la presente Política.

16. Revisión de la Política

La aprobación de esta Política implica que su implantación contará con el apoyo de la Dirección para lograr todos los objetivos establecidos en la misma, como también para cumplir con todos sus requisitos.

La presente Política de Seguridad de la Información, será revisada y aprobada por la Dirección, asegurando así que la Política permanece adaptada en todo momento a la realidad de SCA.

17. Anexo: Niveles de clasificación

¿Qué dicen nuestros clientes?

Para K&F Consulting la opinión de nuestros clientes es muy importante, porque nos ayuda a mantener nuestro estándares de calidad.