top of page
ISOPOL.png

Política de Seguridad

Definir los criterios y lineamientos esenciales para la administración, uso y protección de la información, al igual que de los recursos informáticos asociados a su tratamiento. La misma se basa en normas y regulaciones nacionales e internacionales, asimismo como en los lineamientos estratégicos de Pretorian.

Política Corporativa de Seguridad

Introducción 

La presente política define los criterios y lineamientos esenciales para la administración, uso y protección de la información, así como de los recursos informáticos asociados a su tratamiento. Esta política se basa en normas y regulaciones nacionales e internacionales, así como en los lineamientos estratégicos de la organización.

La dirección de la organización, su cuerpo ejecutivo y todo el personal comprenden que la información, tanto propia como de clientes, es un recurso fundamental para la organización y, por tanto, asumen la responsabilidad que les corresponde en su adecuada protección.

Alcance

Esta política es aplicable a todos los colaboradores internos o externos que realice actividades para la organización e incluye:

  • Los activos de información propiedad de la organización o de sus clientes que se encuentren bajo la custodia o administración de esta.

  • La infraestructura tecnológica que permite la generación, procesamiento, transmisión y almacenamiento de información.

  • Las instalaciones físicas donde residen los activos de información.

  • Las personas que hacen uso de los activos de información, ya sea personal de la organización, de los clientes o de empresas prestadoras de servicios.

 

Revisión, validación y difusión

La presente política deberá ser revisada anualmente y actualizada cuando sea necesario. La misma deberá ser aprobada por el CEO de la organización. En caso de no existir modificaciones, deberá indicarse la justificación correspondiente en el registro de cambios del documento respectivo.

Una copia de esta política general deberá ser distribuida a todo el personal actualmente contratado, a los empleados que están siendo incorporados a la organización y a terceros que presten servicios.

Objetivos

  • Establecer los requerimientos para la implementación de controles adecuados y efectivos para proteger los activos de información durante su uso cotidiano.

  • Mantener la confidencialidad, integridad, disponibilidad y resiliencia de los activos de información.

  • Identificar los riesgos que pudieran materializarse sobre los activos de información mediante una evaluación adecuada, comprendiendo las vulnerabilidades y amenazas a las que están expuestos.

  • Gestionar los riesgos a un nivel aceptable mediante el diseño, implementación y mantenimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI).

  • Favorecer la comunicación, sensibilización e información sobre los lineamientos de seguridad y ciberseguridad a todos los integrantes de la organización.

 

Reglas de la política

  • Todo colaborador, permanente o temporal, tiene la obligación de proteger los activos de información, los sistemas y la infraestructura tecnológica de la organización, actuando siempre de forma responsable y profesional, y conforme a lo establecido por esta política.

  • Todos los activos de información deberán contar con un dueño designado, quien será responsable de asegurar que estos se encuentren debidamente inventariados y clasificados según su criticidad. También será su responsabilidad realizar una revisión periódica de dicha clasificación y de las autorizaciones de acceso.

  • Los activos de información deben ser protegidos en función de su clasificación y conforme a la evaluación de riesgos correspondiente.

  • Todo proyecto que involucre activos de información deberá incorporar los requerimientos de seguridad y ciberseguridad desde su concepción.

  • Todo colaborador tiene la responsabilidad de notificar incidentes de seguridad y ciberseguridad, así como potenciales debilidades detectadas.

  • El Oficial de Seguridad es responsable de implementar un programa adecuado de sensibilización y capacitación en seguridad de la información y ciberseguridad, accesible para todos los colaboradores.

  • La Dirección de la organización se compromete a mejorar continuamente los procesos y niveles de seguridad de la información y ciberseguridad, asegurando la existencia de planes de contingencia para garantizar la continuidad de los servicios prestados.

  • La Dirección asegura el cumplimiento de la normativa vigente en temas de Seguridad de la Información y Ciberseguridad, y los requerimientos contractuales establecidos por los clientes.

 

Referencias normativas

Esta política se basa en las siguientes normas y regulaciones:

  • ISO/IEC 27001:2022 - Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de la Seguridad de la Información - Requisitos.

  • ISO/IEC 27002:2022 - Código de práctica para controles de seguridad de la información.

  • Ley 21663 - Ley Marco de Ciberseguridad.

  • Ley de Protección de Datos Personales y regulaciones nacionales aplicables.

  • Regulaciones y estándares específicos del sector de operación de la organización.

 

Mejora continua

La organización implementará un proceso de mejora continua del SGSI, incluyendo:

  • Revisiones periódicas del SGSI por parte de la Dirección, al menos una vez al año.

  • Monitoreo y medición de la efectividad de los controles de seguridad implementados.

  • Auditorías internas del SGSI realizadas a intervalos planificados.

  • Identificación y gestión de no conformidades y acciones correctivas.

  • Análisis de retroalimentación de partes interesadas (clientes, colaboradores, proveedores, etc.).

  • Revisión de oportunidades de mejora identificadas en las actividades anteriores.

  • Implementación de cambios que permitan la mejora continua del SGSI.

bottom of page