La presente Política tiene como propósito demostrar la determinación por parte de la Dirección de CONFIRMA SISTEMAS de los objetivos, directrices, principios y reglas básicas para la gestión de la seguridad de su información y la protección de sus activos, y garantizar que la información se encuentra en todo momento protegida con independencia de cual sea la forma en la que se almacene, comparta o comunique frente a cualquier tipo de amenaza con la finalidad de minimizar los riesgos empresariales y de garantizar tanto las oportunidades como la continuidad de negocio.
Este propósito se ha materializado mediante la implantación y el mantenimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI) de conformidad con el estándar internacional ISO/IEC 27001:2019.
Activos de información: Información, sistemas de información (es decir, hardware y software), servicios de información y recursos de procesamiento de información, ya sean físicos o electrónicos, propiedad de CONFIRMA o confiados a CONFIRMA.
Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.
Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
Autenticidad: Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.
Confidencialidad: Propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados.
Disponibilidad: Propiedad por la que a la información solo pueden acceder las personas autorizadas cuando sea necesario.
IDS (Sistema de detección de intrusos): La detección de intrusos es el proceso de detectar el uso no autorizado de sistemas y redes mediante el uso de software y/o hardware especializado.
Información clasificada: Información que ha sido clasificada como interna, confidencial o restringida.
Integridad: Propiedad por la que la información solo es modificada por personas o sistemas autorizados y de una forma permitida, salvaguardando así la exactitud y completitud de los activos de información.
IPS (Sistema de prevención de intrusiones): La prevención de intrusiones es el proceso de impedir el uso no autorizado de sistemas y redes mediante el uso de software y/o hardware especializado.
Programa de seguridad de la información: Las medidas de seguridad administrativas, técnicas o físicas utilizadas para acceder, recopilar, distribuir, procesar, proteger, almacenar, utilizar, transmitir, eliminar o manejar de cualquier otra forma la información clasificada de CONFIRMA.
Propietario de los datos: El empleado de CONFIRMA que tiene la responsabilidad empresarial de un activo de información, así como la responsabilidad de designar las clasificaciones apropiadas de sensibilidad y criticidad para los Activos de Información.
Responsable de seguridad de la información (ISO): Persona a la que se asigna la responsabilidad de comunicar, aplicar y gestionar el programa de seguridad dentro de la Unidad de Negocio y/o región, basándose en esta política de seguridad y en las directrices establecidas por la organización. Esto incluye la realización de auditorías de clientes/terceros/unidades de negocio y la aplicación de los controles de seguridad dictados por esta política y bajo la dirección de la organización.
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño de una activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.
Seguridad de la información: Es la preservación de la confidencialidad, integridad y disponibilidad, autenticidad y trazabilidad de la información.
SGSI: Sistema de gestión de seguridad de la información – Parte de los procesos generales de gestión que se encarga de planificar, implementar, mantener, revisar y mejorar la seguridad de la información.
Tercero: Una persona o entidad externa que recibe, mantiene, procesa, proporciona un servicio, o de otra manera se le permite el acceso a la Información Clasificada a través de su prestación de servicios directamente a CONFIRMA, o utiliza la Información Clasificada de CONFIRMA para fines comerciales aprobados por la organización.
Trabajadores: Todos los empleados, contratistas, consultores, temporales y otros trabajadores de CONFIRMA, incluidos aquellos trabajadores afiliados a terceros que acceden a las redes informáticas y a los datos de CONFIRMA.
Tratamiento de riesgos: Proceso de modificar el riesgo mediante la implementación de controles.
Trazabilidad: Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a una persona o entidad.
Esta Política se aplica a todo el Sistema de Gestión de Seguridad de la Información (SGSI) y es de consideración por parte de todos los miembros de CONFIRMA SISTEMAS y SOLUCIONES CONFIRMA como también terceros externos a la organización.
Los objetivos generales de la seguridad de la información es la protección de la información para garantizar:
o Confidencialidad: asegurar que la información sea accesible sólo a las personas autorizadas para acceder a ella.
o Integridad: asegurar que la información sea exacta y completa y que no se modifique sin autorización.
o Disponibilidad: asegurar que la información sea accesible a los usuarios autorizados cuando sea necesario.
Esta Política, y todo el SGSI, deben cumplir todos los requisitos legales y normativos aplicables para la organización en el ámbito de la seguridad de la información, como también con las obligaciones contractuales establecidas con terceros.
La organización ha adoptado las mejores prácticas, estableciendo controles organizativos y técnicos con el propósito de preservar la confidencialidad, integridad y disponibilidad de los activos de información.
La dirección de la compañía pone la debida atención en entender y analizar los riesgos relacionados con la seguridad de la información y establecer todos los controles necesarios que permitan reducir la posibilidad de que eventos no deseados impacten en la organización y en sus clientes.
CONFIRMA ha establecido procesos para identificar los riesgos de seguridad de la información y ha establecido métodos para implantar medidas mitigadoras de estos. Esta gestión permite a la organización:
o Identificar los activos críticos de información incluyendo personas críticas, procesos de negocio y tecnología.
o Comprender por qué los activos críticos escogidos son necesarios para las operaciones, la realización de la misión y la continuidad de las operaciones.
La organización ha establecido un proceso continuo de la gestión de la continuidad del negocio identificando potenciales amenazas para la organización y los posibles impactos que esas amenazas podrían tener sobre las operaciones de negocios.
Desde la Dirección de la compañía se han adoptado compromisos para:
o Garantizar que el SGSI sea implementado y mantenido de acuerdo con esta Política y de garantizar que todos los recursos necesarios estén disponibles.
Coordinar la operativa del SGSI, como también de informar de su desempeño.
o Revisar el SGSI al menos una vez por año o cada vez que se produzcan cambios relevantes para la organización, ya sean de tipo operativo, legal, regulatorio o contractual y siempre que se considere necesario, asegurando así que la Política permanece adaptada en todo momento.
o Implantar programas de capacitación y concienciación adecuados a los empleados sobre seguridad de la información y buenas prácticas en relación con el desempeño de sus funciones, así como, facilitar el acceso y conocimiento de las actualizaciones regulares tanto de la presente Política como al resto del Cuerpo Normativo y Documental del SGSI.
o Proteger la integridad, disponibilidad y confidencialidad de los activos de la organización.
o Resolver los incidentes o debilidades de seguridad que puedan comprometer o hayan comprometido la confidencialidad, integridad y/o disponibilidad de la información.
A través de la presente política, la Directora General declara que en la implantación y mejora continua del SGSI se contará con el apoyo de los recursos adecuados para lograr todos los objetivos establecidos en esta Política, como también para cumplir con todos los requisitos identificados.
Directora General
Lisette González
