En estricto apego a las normativas y regulaciones nacionales e internacionales, te damos a conocer nuestras políticas de seguridad de la información con las cuales guiamos nuestros procesos y actividades.
1. COMPROMISO DE LA DIRECCIÓN
La alta dirección, a través del Director General, se compromete a:
- Establecer, implementar y mantener un sistema de Gestión de Seguridad de la Información, que cumpla con los lineamientos de la norma ISO-IEC-27001:2013, proporcionando los recursos necesarios tanto humanos como financieros y considerando el costo-beneficio y los criterios de riesgo de la organización.
- Impulsar la mejora continua en materia de seguridad de la información en todas las operaciones relevantes de la organización.
- Asegurar el cumplimiento de los requerimientos de las autoridades, de los clientes y de las partes interesadas en materia de Seguridad de la Información.
- Supervisar el cumplimiento de las Políticas internas de Seguridad de la información y las Políticas o directrices relacionadas.
2. POLÍTICA DE LA SEGURIDAD DE LA INFORMACIÓN
2.1 Enunciado general
La organización implementará, mantendrá y mejorará de manera continua un Sistema de Gestión de Seguridad de la Información basado en la norma ISO-27001:2013. Este sistema procurará mantener controles adecuados para mitigar los riesgos de seguridad de la información y así proteger la confidencialidad, la integridad y la continuidad de la información en todas las áreas tanto de servicios internos como de las diferentes unidades de negocio.
2.2 Difusión
Todos los documentos, políticas, procedimientos, registros relevantes y actividades relacionadas con el SGSI, se difundirán a todos los colaboradores de la organización, así como al resto de las partes interesadas (Clientes clave, proveedores clave, consejo de administración), con base en su nivel de involucramiento en el sistema mismo.
2.3 Riesgos a considerar
La organización gestionará de manera sistemática los riesgos inherentes a la seguridad de la información que han sido identificados como moderados, altos y críticos
2.4 Responsabilidades
a. Comité de Seguridad de la Información
Es el responsable, sin reserva alguna de:
- La seguridad de la información de la organización.
- Definir los objetivos estratégicos de seguridad de la información.
- El proceso y la administración de la Seguridad de la Información.
- Políticas y directrices complementarias a la presente política.
- Desarrollar estrategias y conceptos de la Seguridad de la Información
b. Alta dirección
La dirección general y/o la comisión de seguridad de la información en el consejo de administración son los responsables de revisar y aprobar los objetivos, estrategias y políticas de Seguridad de la Información en la organización.
c. Colaboradores
Todos los colaboradores son responsables de cumplir con los lineamientos de seguridad de la información y con cualquier reglamento relacionado; y son responsables de reportar cualquier riesgo o incidente de seguridad de la información detectado.
d. Proveedores
Los proveedores deben cumplir con esta política y cualquier reglamento relacionado.
2.5 Sistemas de Gestión de servicios
Todos los sistemas de gestión de servicios en las unidades de negocio o departamentos internos de la organización se alinearán a esta política.
2.7 Políticas (directrices) complementarias a esta política
Como parte del Sistema de Gestión de Seguridad de la Información se han publicado directrices específicas a los diferentes temas relevantes a la seguridad de la información. Estas directrices forman parte integral del sistema y deberán ser cumplidas por todos los colaboradores de la organización.
3. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN
La organización planifica, establece y emite objetivos de seguridad de la información para las funciones y niveles pertinentes.
3.1 Normas y Leyes:
- Cumplir con la ley de protección de datos personales mexicana
- Lograr y mantener la certificación de la norma ISO 27001-2013.
3.2 Roles y Facultades:
- Gestionar de forma controlada la identidad, roles y facultades de los usuarios de las aplicaciones críticas y ambientes de desarrollo.
- Gestionar que la información sensible tanto interna como de nuestros clientes, sea manejada con confidencialidad.
3.3 Disponibilidad
- Asegurar el cumplimiento de niveles de servicio en temas de disponibilidad.
- Disminuir al mínimo posible los incidentes críticos de disponibilidad.
3.4 Ventas:
- No perder contratos con clientes debido a deficiencias en la SI
3.5 Difusión:
- Difundir de manera efectiva la política y conceptos básicos de Seguridad de la Información.
3.6 Nivel General de riesgo:
- Lograr un nivel de exposición al riesgo de SI <= 2.5
3.7 Sistemas de Gestión:
- Lograr un nivel avanzado del tratamiento de los riesgos de seguridad de la información.
4. ESTRUCTURA DE ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN.
En el documento DOC-SSI-006 “Funciones, Responsabilidades y autoridades de la Organización en el Sistema de Gestión de Seguridad de la Información” se detalla cada uno de los roles que participan en el Sistema de Gestión de Seguridad de la Información.