Embedded Files
¿Tienes una emergencia 😷🦠🦠🦠 y necesitas urgente un servicio profesional 🚨?
POLÍTICA CORPORATIVA DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD
POLÍTICA CORPORATIVA DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD
Organización: TTPSEC SPA
Versión vigente: 30 de abril de 2025
1. Declaración de Compromiso de la Alta Dirección
1. Declaración de Compromiso de la Alta Dirección
La Alta Dirección de TTPSEC SPA se compromete firmemente con la protección de los activos de información, así como con la mejora continua del Sistema de Gestión de Seguridad de la Información (SGSI), en conformidad con la norma ISO/IEC 27001:2022. Este compromiso se manifiesta mediante el liderazgo activo, la asignación de recursos suficientes, la aprobación de esta política y la promoción de una cultura organizacional de seguridad.
2. Propósito y Alcance
2. Propósito y Alcance
El propósito de esta política es establecer directrices, responsabilidades y principios orientados a proteger la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información de TTPSEC SPA, así como la de sus clientes y partes interesadas.
Esta política aplica a:
- Todos los miembros de TTPSEC SPA: empleados, socios, consultores, contratistas y terceros autorizados.
- Todos los activos de información, incluyendo documentos, aplicaciones, infraestructuras tecnológicas, dispositivos y servicios.
- Todos los entornos donde se almacene, procese o transmita información corporativa o de clientes.
Alcance del Sistema de Gestión de Seguridad de la Información (SGSI):
Procesos Estratégicos:
- Dirección general y planificación estratégica
- Gestión comercial y desarrollo de clientes
- Cumplimiento legal, normativo y contractual
Procesos Clave de Negocio:
- Diagnóstico, auditoría y evaluación de seguridad IT/OT
- Consultoría y diseño de soluciones en ciberseguridad
- Servicios de CISO/DPO como servicio
- Ejecución de pruebas de penetración (pentesting) y respuesta a incidentes
- Formación y capacitación técnica en modalidad online y presencial
Procesos de Soporte:
- Gestión documental del SGSI
- Gestión de infraestructura TI y herramientas de seguridad
- Gestión financiera, tributaria y legal a través de servicios externos
- Apoyo administrativo y coordinación operativa de consultores
Procesos de Evaluación y Mejora Continua:
- Monitoreo de la calidad de los servicios
- Auditorías internas del SGSI
- Evaluación de riesgos y revisión por la Dirección
Este alcance incluye todas las actividades realizadas desde plataformas digitales, espacios colaborativos, repositorios cloud y sistemas de gestión, así como las visitas presenciales a instalaciones de clientes, cuando corresponda.
3. Marco Normativo y Regulatorio
Esta política se encuentra alineada con los principales marcos normativos y regulatorios aplicables a la seguridad de la información y la protección de datos personales, incluyendo pero no limitándose a:
- ISO/IEC 27001:2022 e ISO/IEC 27002:2022
- NIST SP 800-53, NIST Cybersecurity Framework, CIS Controls v8
- Ley N° 19.628 sobre Protección de la Vida Privada
- Ley N° 21.719 sobre Protección de Datos Personales
- Reglamento General de Protección de Datos (GDPR)
- Regulaciones contractuales y sectoriales específicas
TTPSEC SPA se compromete al cumplimiento de todas estas normativas, adoptando un enfoque preventivo, proactivo y de mejora continua frente a los riesgos que puedan afectar la privacidad y seguridad de la información.
4. Principios Rectores
TTPSEC SPA fundamenta su SGSI en los siguientes principios:
- Confidencialidad: Prevención del acceso no autorizado a información.
- Integridad: Salvaguarda de la exactitud, consistencia y fiabilidad de los datos.
- Disponibilidad: Acceso continuo y sin restricciones indebidas a la información.
- Autenticidad: Verificación de identidad y procedencia de los actores y activos.
- Trazabilidad: Registro y auditoría de eventos críticos y acciones clave para rendición de cuentas.
- Legalidad y transparencia: Cumplimiento normativo y comunicación honesta.
- Mejora continua: Aplicación del ciclo PDCA al SGSI.
5. Gobierno y Roles de Seguridad
Modelo de gobernanza de seguridad:
- Gerente General: Responsable final del SGSI. Aprueba recursos y revisa el desempeño.
- Gerente Comercial: Asegura el cumplimiento de requisitos contractuales de seguridad en las relaciones con clientes.
- Jefe de Arquitectura e Ingeniería: Responsable del diseño, implementación y mantenimiento de la arquitectura de seguridad y los sistemas técnicos. Supervisa controles, incidentes y cumplimiento normativo.
- Ingeniero Senior de Ciberseguridad IT: Encargado de la evaluación técnica de riesgos, pruebas de seguridad, configuraciones seguras, y soporte especializado en entornos IT.
- Consultores Asociados (1, 2 y 3): Ejecutan controles, colaboran en evaluaciones, aplican procedimientos de seguridad y reportan eventos.
- Administrativos y roles de apoyo a la consultoría: Deben respetar esta política, participar en capacitaciones, y reportar riesgos o incidentes oportunamente.
- Todos los usuarios: Deben respetar esta política, participar en capacitaciones, y reportar riesgos o incidentes oportunamente.
La estructura de roles se documenta en una matriz RACI.
6. Evaluación y Gestión de Riesgos
TTPSEC SPA adopta una metodología de gestión de riesgos que considera:
- Identificación y valoración de activos.
- Evaluación de amenazas, vulnerabilidades y probabilidades.
- Determinación de riesgos inherentes y residuales.
- Tratamientos definidos: mitigación, aceptación, transferencia o eliminación.
- Registro en el inventario de riesgos del SGSI.
La evaluación se revisa anualmente o ante eventos significativos.
7. Manejo de Incidentes de Seguridad
La organización mantiene procedimientos formales de:
- Reporte seguro de incidentes y vulnerabilidades.
- Activación de respuesta inmediata (IRP).
- Investigación, contención, erradicación y recuperación.
- Escalamiento según criticidad.
- Notificación a clientes, socios o autoridades cuando corresponda.
Todos los incidentes se documentan y analizan para retroalimentación.
8. Concienciación y Cultura Organizacional
Se ejecuta un programa anual de capacitación que incluye:
- Inducción para nuevos integrantes.
- Talleres técnicos, ejercicios de phishing y simulacros.
- Evaluaciones de conocimiento.
- Campañas internas de seguridad digital.
El objetivo es mejorar la postura de seguridad desde las personas.
9. Clasificación y Control de Accesos
La información se clasifica en tres niveles:
- Pública
- Interna
- Confidencial / Restringida
Los accesos se otorgan bajo:
- Principio de menor privilegio.
- Necesidad de conocer.
- Autenticación multifactor (MFA).
- Revisión periódica de privilegios.
- Auditorías de acceso y uso.
10. Resiliencia y Continuidad del Negocio
TTPSEC SPA cuenta con:
- Plan de Continuidad Operacional (BCP).
- Plan de Recuperación ante Desastres (DRP).
- Procedimientos para servicios esenciales.
- Pruebas documentadas al menos una vez al año.
11. Auditoría, Monitoreo y Mejora Continua
- Revisión anual de esta política y del SGSI.
- Auditorías internas programadas.
- Auditorías externas y revisiones de cumplimiento.
- Indicadores de gestión de seguridad.
- Acciones correctivas y preventivas (CAPA).
12. Cumplimiento y Régimen Disciplinario
El incumplimiento de esta política podrá derivar en:
- Amonestaciones formales.
- Suspensión de actividades.
- Terminación de contrato.
- Acciones legales, civiles o penales.
13. Control de Cambios
Versión: 1.0
Fecha: 10/04/2025
Cambio: Versión inicial
Aprobado por: Gerencia General
14. Difusión y Vigencia
Esta política está disponible en los canales internos de TTPSEC SPA. Su conocimiento, comprensión y cumplimiento son obligatorios para todo el personal interno y terceros con acceso a información o recursos de la organización.
Fin del Documento
Page updated
Google Sites
Report abuse