Resumen

1. Introducción
2. Seguridad de la información y privacidad
3. Gestión de activos
4. Gestión de acceso
5. Seguridad física y ambiental
6. Seguridad operacional
7. Gestión de riesgos
8. Pantalla limpia
9. Gestión de eventos e incidentes
10. Seguridad de la información en la gestión de proyectos
11. Gestión del cambio
12. Gestión de la Continuidad del Negocio

1. Introducción

El propósito de esta Política de alto nivel es definir el propósito, la dirección, los principios y las normas básicas para la gestión de la seguridad de la información y garantizar su adecuada protección.
Define las normas para el uso de controles criptográficos, así como las normas para el uso de claves criptográficas, con el fin de proteger la confidencialidad, integridad, autenticidad y no repudio de la información.
También define las normas para prevenir el acceso no autorizado a la información en los lugares de trabajo, así como en instalaciones y equipos compartidos.
Esta política se aplica a todo el Sistema de Gestión de la Seguridad de la Información (SGSI), tal como se define en el documento de alcance del SGSI.

2. Seguridad y privacidad de la información

TM  Tecnologia  se compromete a implementar un Sistema de Gestión de Seguridad y Privacidad de la Información que cumpla con todos los requisitos aplicables de las normas ISO 27001 e ISO 27701, compatible con el contexto de la organización.
Este compromiso es aplicado por todos los empleados, líderes y miembros de la junta directiva, centrándose no solo en la implementación del sistema, sino también en la mejora continua, cuyo objetivo es mantener y promover acciones preventivas y correctivas basadas en el análisis de datos, indicadores, no conformidades y auditorías internas.
TM  Tecnologia  garantiza la seguridad y privacidad de la información bajo su custodia, la cual se maneja o almacena en los medios sobre los que  TM Tecnologia  tiene pleno control administrativo, físico, lógico y legal.
El manejo de datos se realiza de acuerdo con las normas internas específicas o según lo definido en esta política.

3. Gestión de activos

Los activos de  TM Tecnologia  deben utilizarse principalmente para los intereses y negocios de la empresa.
Los activos que contengan información confidencial deben registrarse, almacenarse, protegerse y, según sea necesario, eliminarse de forma controlada, de conformidad con la legislación aplicable.

4. Gestión de acceso

El acceso lógico a los sistemas informáticos de  TM Tecnologia  debe estar identificado y controlado, respetando los principios de integridad, confidencialidad y disponibilidad de la información, garantizando la trazabilidad y la eficacia del acceso autorizado.
Las contraseñas para acceder a  los activos/servicios de información o recursos informáticos de TM Tecnologia  son personales e intransferibles, y es responsabilidad del usuario garantizar su custodia y confidencialidad.

5. Seguridad física y ambiental

El acceso a  las instalaciones de TM Tecnologia  debe estar controlado. Las contraseñas y credenciales son personales e intransferibles, y no se pueden compartir.
Todos los empleados, socios y proveedores son responsables de la información y los datos almacenados en sus estaciones de trabajo (escritorio y computadora) y deben garantizar su seguridad.
El trabajo remoto está autorizado por la alta dirección de la empresa. La autorización de acceso debe ser autorizada por el gerente de área, según se define en el procedimiento de «Seguridad Física y Ambiental».
Todas las computadoras portátiles y teléfonos celulares proporcionados por  TM Tecnologia  deben estar registrados y configurados con una identificación única, estándares de seguridad y un usuario responsable de su uso, según se define en el procedimiento de «Seguridad Física y Ambiental».
El uso de dispositivos móviles de empleados o socios (BYOD) está autorizado por la alta dirección de la empresa. La autorización de acceso debe ser autorizada por el gerente de área, informando a qué recursos o datos corporativos accederá el dispositivo, según se define en el procedimiento de «Seguridad Física y Ambiental».

6. Seguridad operacional

Comunicaciones: 

• El correo electrónico y los números de teléfono celular proporcionados a empleados y proveedores de servicios deben usarse exclusivamente para actividades profesionales estrictamente en beneficio de  TM Tecnologia . Se generan alertas cuando se recibe un correo electrónico con virus (malware) y los empleados reciben alertas de orientación.
• Se realizan auditorías a los buzones de correo electrónico y demás recursos puestos a disposición por  TM Tecnologia  de cualquier empleado sin previo aviso cuando se identifican posibles brechas en la seguridad de la información.

Operaciones: 

• Los empleados deben adoptar una postura proactiva respecto a la protección de la información y deben estar alertas ante amenazas externas, así como fraudes, robos de información y accesos indebidos a los sistemas de información bajo responsabilidad de  TM Tecnologia.

   

• Los datos considerados confidenciales o restringidos deben almacenarse en carpetas de red y no está permitido compartir carpetas en dispositivos personales.
• Todos los datos considerados esenciales para los objetivos de  TM Tecnologia  deben estar protegidos mediante rutinas de respaldo sistemáticas y documentadas y deben estar sujetos a pruebas periódicas de recuperación.
• El acceso a Internet concedido a los empleados y socios que utilizan la red interna debe utilizarse principalmente para los intereses y negocios de  TM Tecnologia.

   

• El uso de Internet para intereses privados debe realizarse con cuidado, no excediendo los límites de la razonabilidad y los principios establecidos por  TM Tecnologia.

   

• TM  Tecnologia  podrá realizar seguimiento y control proactivo, con el objetivo de detectar actividades anómalas de procesamiento de información y violaciones a la política, estándares o procedimientos de seguridad de la información, manteniendo la confidencialidad del proceso y de la información obtenida.

Adquisición, Desarrollo y Mantenimiento de Sistemas: 

• Sólo se podrán utilizar en el  entorno de TM Tecnologia productos y software aprobados.

   

• El software desarrollado por  TM Tecnologia debe incluir medidas de seguridad, por ejemplo: pruebas de vulnerabilidad, pruebas de autenticación, control de sesión e inyección de código.

Vulnerabilidades técnicas y malware: 

• TM  Tecnologia  realiza un seguimiento periódico para mapear vulnerabilidades técnicas y posible malware.
• TM  Tecnologia  utiliza software antivirus en todos los servidores corporativos, estaciones de trabajo y puertas de enlace.

Cifrado: 

• TM  Tecnologia  utiliza soluciones de encriptación dependiendo de las obligaciones legales y contractuales

7. Gestión de riesgos

TM Tecnologia  realiza acciones para identificar y clasificar los riesgos de Seguridad de la Información de la organización mediante el mapeo de vulnerabilidades, amenazas, impacto y probabilidad de ocurrencia, así como la adopción de controles de mitigación y contingencia.

8. Limpiar la pantalla

Todos los profesionales, empleados y socios son responsables de la información almacenada en sus puestos de trabajo (escritorio, ordenador y dispositivos móviles) y deben garantizar su seguridad, no dejando información confidencial accesible a otros.

9. Gestión de eventos e incidentes

Cualquier profesional de  TM Tecnologia  puede identificar vulnerabilidades de seguridad de la información observadas o sospechadas en los sistemas o servicios en los que trabaja.

10. Seguridad de la información en la gestión de proyectos

TM  Tecnologia  garantiza controles efectivos y eficientes en proyectos y operaciones.

11. Gestión del cambio

TM  Tecnologia  monitorea los cambios planificados, analizando sus consecuencias y tomando acciones para mitigar cualquier efecto adverso.

12. Gestión de la continuidad del negocio

TM  Tecnologia  cuenta con un plan de continuidad de negocio, con acciones y responsabilidades para minimizar los impactos resultantes de incidentes, incluyendo la implementación de medidas de mitigación de riesgos y contingencias.