Política de Seguridad de la información

1. Propósito y Alcance

La presente Política de Seguridad de la Información establece los principios fundamentales para proteger los activos de información de TTPSEC SPA. Su propósito es asegurar la confidencialidad, integridad y disponibilidad de la información frente a amenazas internas, externas, deliberadas o accidentales. Esta política es aplicable a todos los empleados, contratistas, socios de negocio y terceras partes que interactúan con la información de la empresa, abarcando todas las formas y soportes de la misma, incluidos los medios digitales, impresos y comunicaciones verbales.

2. Marco Normativo

Esta política ha sido diseñada en conformidad con las normas ISO/IEC 27001 e ISO/IEC 27002, así como con la legislación y regulaciones vigentes aplicables a la protección de la información. Cualquier incumplimiento de estas normas será tratado según los procedimientos disciplinarios y/o legales correspondientes.

3. Principios y Objetivos de la Seguridad de la Información

Los objetivos y principios fundamentales de la seguridad de la información en TTPSEC SPA son los siguientes:

• Confidencialidad: Asegurar que la información es accesible únicamente para las personas autorizadas.

• Integridad: Garantizar la exactitud y completitud de la información, así como su procesamiento legítimo.

• Disponibilidad: Garantizar que la información esté accesible y utilizable cuando sea necesaria por los usuarios autorizados.

Además, la empresa se compromete a:

• Cumplir con todas las leyes y regulaciones aplicables.

• Proteger los derechos de privacidad de los individuos y la propiedad intelectual.

• Implementar un enfoque de mejora continua en la gestión de la seguridad de la información.

4. Responsabilidades y Roles

• Dirección de TTPSEC SPA: Responsable de proporcionar liderazgo y recursos suficientes para la implementación efectiva de la política, así como de aprobar y respaldar los procesos y controles de seguridad.

• Oficial de Seguridad de la Información (CISO): Responsable de liderar el desarrollo, implementación y revisión de la política, así como de garantizar la respuesta eficaz a los incidentes de seguridad.

• Responsables de Áreas de Negocio: Deben asegurar que se cumpla la política de seguridad en sus respectivas áreas y promover una cultura de seguridad de la información.

• Empleados y Contratistas: Son responsables de cumplir con la política y reportar cualquier incidente o violación de seguridad.

5. Evaluación y Tratamiento de Riesgos

TTPSEC SPA llevará a cabo evaluaciones de riesgos periódicas y sistemáticas para identificar, analizar y evaluar los riesgos relacionados con la información y sus procesos. Basándose en estas evaluaciones, se desarrollarán e implementarán planes de tratamiento de riesgos para minimizar la exposición de la empresa a amenazas y vulnerabilidades.

6. Gestión de Incidentes de Seguridad

La empresa dispone de un Proceso de Gestión de Incidentes documentado que garantiza la identificación, reporte, análisis y respuesta eficiente a cualquier incidente de seguridad. Los empleados y contratistas deben reportar de inmediato cualquier sospecha de incidente al CISO o al equipo de seguridad correspondiente.

7. Formación, Concienciación y Capacitación

TTPSEC SPA implementará programas continuos de formación y concienciación para asegurar que todos los empleados y contratistas comprendan sus responsabilidades en relación con la seguridad de la información y que estén equipados para reconocer y manejar los riesgos de manera efectiva.

8. Control de Acceso y Clasificación de la Información

La información de TTPSEC SPA será clasificada según su nivel de sensibilidad y criticidad, asegurando que los controles de acceso sean adecuados a su clasificación. Los empleados y terceros tendrán acceso a la información únicamente en función de su rol y responsabilidades.

9. Gestión de Continuidad del Negocio

TTPSEC SPA desarrollará, mantendrá y probará planes de continuidad del negocio y recuperación ante desastres para garantizar que la empresa pueda responder eficazmente a incidentes que afecten la disponibilidad de la información y los servicios críticos.

10. Revisión, Auditoría y Mejora Continua

La política de seguridad de la información se revisará al menos anualmente o cuando ocurran cambios significativos en el entorno de amenazas, regulaciones, tecnología o negocio. Se llevarán a cabo auditorías internas y externas para asegurar el cumplimiento de la política y la identificación de oportunidades de mejora.

11. Sanciones y Medidas Disciplinarias

El incumplimiento de esta política y de los controles de seguridad establecidos podrá resultar en medidas disciplinarias que pueden incluir la terminación de la relación laboral o contractual y la posible acción legal, dependiendo de la gravedad de la infracción.

12. Aprobación y Difusión

Esta política ha sido aprobada por la Dirección de TTPSEC SPA y está disponible para todos los empleados, contratistas y terceros. Se requiere la adhesión a esta política como una condición de empleo o contratación con la empresa.

Fecha de última revisión: 10-04-2025