Política general de seguridad, Ciberseguridad y Privacidad de la información

1. INTRODUCCIÓN

Simetrik INC. y todas sus filiales y/o subsidiarias, presente y/o futuras (en adelante, «La Compañía»), entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un sistema de gestión de seguridad de la información y ciberseguridad, buscando establecer un marco de confianza en el ejercicio de sus deberes con sus empleados y terceros, todo enmarcado en el estricto cumplimiento de las leyes, seguimiento de estándares internacionales y en concordancia con la misión y visión de la empresa. La Política de Seguridad, Ciberseguridad y Privacidad de la Información es la declaración general que representa la posición de la administración de La Compañía con respecto a la protección de todos los activos, Colaboradores (empleados y contratistas) y terceros, que soportan los procesos de la empresa y apoyan la implementación del Sistema de Gestión de Seguridad de la Información y Ciberseguridad, por medio de la generación y publicación de sus políticas, procedimientos y demás documentos, así como la asignación de responsabilidades generales y específicas para la gestión de la seguridad de la información y ciberseguridad.

Los roles son requeridos dentro de la organización para proveer responsabilidades claras y definidas, así como para entender cómo se puede proteger la información y son detallados a fondo en su respectivo documento de perfil de cargo.

2. OBJETIVO

Con esta política, La Compañía tiene como objetivo principal disminuir el impacto generado sobre sus activos, por los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y la disponibilidad de la misma, acorde con las necesidades de los diferentes grupos de interés identificados.

Los objetivos específicos de esta política son:

Establecer las directrices generales relacionadas con la seguridad de la información y ciberseguridad.
Minimizar el riesgo en las funciones más importantes de La Compañía.
Mantener la confianza de La Compañía hacia sus clientes, inversionistas y colaboradores (empleados y contratistas).
Apoyar la innovación tecnológica de manera segura y como un valor agregado al producto. Proteger los activos tecnológicos.
Fortalecer la cultura de seguridad de la información y ciberseguridad en los colaboradores (empleados y contratistas), terceros, aprendices, practicantes y clientes de La Compañía.

3. ALCANCE

Esta política aplica a toda la compañía, sus colaboradores (empleados y contratistas) y terceros.

4. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN

La Compañía define los siguientes objetivos:

Administrar los riesgos de seguridad de la información y ciberseguridad para mantenerlos en niveles aceptables, garantizando que la estrategia, políticas, normas, soluciones y recursos estén alineados con los objetivos comerciales y sean congruentes con la normatividad, legales y/o contractuales.
Minimizar los riesgos extremos y altos de Seguridad de la Información y Ciberseguridad.
Gestionar las vulnerabilidades que se presenten en la plataforma tecnológica.
Controlar y prevenir los incidentes de Seguridad de Información y Ciberseguridad.
Construir una cultura en seguridad de la Información y ciberseguridad al interior de la empresa.
Mantener la mejora continua del SGSI a través de la gestión y/o atención oportuna y eficaz en la ejecución y definición del control interno y en la gestión de los planes de acción.

5. ROLES Y RESPONSABILIDADES

Las responsabilidades asociadas a cada rol identificado en el Sistema de Gestión de Seguridad de la Información y Ciberseguridad, se encuentran definidas en la SI-PLT-002-Política de Roles Y Responsabilidades en Seguridad, Ciberseguridad y Privacidad de la Información.

6. POLÍTICA

A través de esta política general, así como del SI-MA-003-Manual de Políticas de Seguridad y Privacidad de la Información o cualquier otra política, desde La Compañía estamos comprometidos a cumplir las siguientes directrices:

Esta política, así como las demás políticas definidas para el SGSI, deberán ser sujetas a revisión y actualización anualmente o cuando se considere necesario en respuesta de un requerimiento interno, externo o regulatorio.

Definir, implementar, operar, mantener y mejorar de forma continua el Sistema de Gestión de Seguridad de la Información y Ciberseguridad, soportado en lineamientos claros, ajustados a las necesidades del negocio, y a los requerimientos regulatorios que le aplican a su naturaleza.
Medir el cumplimiento de los Objetivos de Seguridad y Ciberseguridad definidos.
Garantizar el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.
Verificar que las responsabilidades frente a la Seguridad de la Información y Ciberseguridad sean definidas, compartidas, publicadas y aceptadas por cada uno de los Colaboradores (empleados y contratistas) o terceros.
Proteger la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
Proteger su información de las amenazas originadas por parte de los colaboradores (empleados y contratistas) y terceros.
Controlar la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.
Implementar control de acceso a la información, sistemas y recursos de red.
Garantizar que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
Garantizar una adecuada gestión de los eventos de seguridad, ciberseguridad y de las debilidades asociadas con los sistemas de información, para mejorar la efectividad del modelo de seguridad y ciberseguridad.
Garantizar la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.

7. GESTIÓN DE CAMBIOS

Cuando el SGSI reciba alguna modificación relevante, ya sea en alguno de sus procesos, políticas, manuales, matrices o guías, se deberá cumplir con lo siguiente:

El líder del SGSI informará a toda la compañía del cambio (y la razón de esto), a través del canal de comunicación interno oficial (Slack, canal todos).
Cada documento relacionado con el SGSI deberá contener una tabla que permita tener control y seguimiento a los cambios realizados, el cual deberá incluir la fecha en que se realizó el cambio, la persona que lo autorizó y una breve descripción de los puntos que fueron modificados. Al momento de realizar un cambio al contenido de cada documento, se debe dejar una constancia en el control de cambios.
En caso que aplique, se deben modificar las responsabilidades que afecten a un rol en específico en su respectivo perfil de cargo, para que este refleje las responsabilidades actualizadas dentro del SGSI.
En dado caso que el cambio tenga un impacto grande en un proceso dentro de la compañía, se deberá realizar una capacitación o reinducción a este proceso para garantizar su entendimiento y cumplimiento. Dicha capacitación o reinducción se hará de manera esporádica, en un periodo no mayor a las 2 semanas desde la publicación del cambio y se manejará como una sesión de formación esporádica y adicional a las establecidas en el Cronograma de capacitación del SGSI, la cuál no tendrá impacto o afectará el cumplimiento de las sesiones allí establecidas.
Como último paso, cada cambio que sea lo suficientemente significativo o que modifique algo referenciado en el SI-MA-003-Manual de Políticas de Seguridad y Privacidad de la Información, deberá ser actualizado en este documento también, con la finalidad de mantenerlo completamente actualizado.

8. SEGURIDAD EN PROYECTOS

Todos los proyectos que se desarrollen en el marco del cumplimiento de los objetivos de los Procesos de la Compañía deberán tener un componente de seguridad de la información, el cual deberá ser acompañado y asesorado por el Líder de Seguridad de la Información o a quien éste delegue y se tendrá en cuenta los riesgos y los objetivos de seguridad de la información en dichos proyectos.

POLÍTICA GENERAL DE SEGURIDAD, CIBERSEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN