Política de Seguridad
de la Información

1. Objetivo

Garantizar la continuidad de los servicios, minimizar la probabilidad de explotar las amenazas y asegurar el eficiente cumplimiento de los objetivos de la entrega de los servicios y de las obligaciones legales, conforme al ordenamiento jurídico vigente y los requisitos de seguridad destinados a impedir infracciones y violaciones de seguridad en la entrega de servicios administrados y del Centro de Operaciones en la Nube (Cloud Operations Center, CLOC por sus siglas en inglés).

2. Alcance

La presente Política de Seguridad de la Información aplica para todo el personal de IT ERA, proveedores, terceras personas y clientes que presten servicios a la organización que tengan contacto con información y sistemas de información de servicios administrados de cómputo y mesas de servicios de las Business Units (México, España, Colombia y Perú).

3. Aplicabilidad de la Política de Seguridad de la Información

Las políticas del Sistema de Gestión de la Seguridad de la Información (SGSI) aplican y son de obligatorio cumplimiento para la Alta Dirección, Director General, Directores, Jefes de Áreas y, en general, todos los usuarios internos y externos que permitan la obediencia de los propósitos generales de IT ERA.

4. Responsables

  • Security Consultant / CISO es responsable de mantener actualizada la Política de Seguridad de la Información y velar por el cumplimiento.
  • La Política de Seguridad de la Información será propuesta y revisada por la Alta Dirección y difundida por IT ERA para que la conozcan todas las partes afectadas.
  • Security Consultant / CISO es el responsable de la ejecución del cumplimiento de sus objetivos, así como la existencia de comunicar la Política de Seguridad de la Información por correo electrónico.
  • Los responsables de las áreas aseguran que todos los procedimientos de seguridad de la información, dentro de su área de responsabilidad, se realicen correctamente para lograr el cumplimiento de las políticas y estándares de seguridad de la información de IT ERA.
  • La Alta Dirección es responsable de autorizar las modificaciones en los lineamientos, políticas, procedimientos y todos los controles documentales referentes a seguridad de la información y Política Antisoborno.
  • Todos los usuarios de los sistemas de información, tecnologías de la información y comunicaciones tienen la responsabilidad y obligación de cumplir con las políticas, normas, procedimientos y buenas prácticas de seguridad de la información establecidas en la presente Política de Seguridad de la Información.

5. Términos y definiciones

A los efectos de este documento se aplican las siguientes definiciones:

5.1. Seguridad de la Información:

La seguridad de la información se entiende como la preservación de las siguientes características:

Confidencialidad: Garantiza que la información sea accesible y confidencial, solo a aquellas personas autorizadas a tener acceso.

Integridad: Salvaguarda la exactitud y totalidad de los datos, la información y los métodos de procesamiento.

Disponibilidad: A todos los usuarios autorizados que tengan acceso a la información y a los recursos relacionados se les garantizará alta disponibilidad de la misma cada vez que lo requieran, en cualquier momento.

Adicionalmente deberán considerarse los conceptos de:

Autenticidad: Permite garantizar su integridad para preservar la seguridad de la información, buscando asegurar su validez en tiempo, forma y distribución.

Auditabilidad: Define que todos los eventos de un sistema contarán con registros para su control posterior.

6. Política de Seguridad de la Información

Objetivo:

  • Los servicios administrados de equipos de cómputo en la nube, CLOC y CLOUD, son mantener la operación y soportar la arquitectura tecnológica multinube de los servicios que los clientes ponen a cargo de IT ERA, por lo que todos los recursos con los que cuenta la entrega de estos servicios están alineados en la protección de los activos de información como parte de una estrategia integral, orientada a la continuidad de la entrega del servicio, así como a la administración de los riesgos, el cumplimiento de las normativas nacionales e internacionales y la consolidación de una filosofía de seguridad de la información en la entrega de los servicios.

Directrices:

  • Se verifica que definan, implementen, revisen y actualicen las Políticas de Seguridad de la Información.
  • Establecer un programa de concientización de SGSI que permita el fomento continuo de la creación de cultura, conciencia, capacitación y difusión en el entorno de seguridad de la información.
  • Diseñar, programar y realizar los planes de auditoría del Sistema de Gestión de Seguridad de la Información, los cuales estarán a cargo del Security Consultant / CISO.
  • IT ERA define la información como un activo fundamental que considera esencial para las actividades de la entrega de los servicios y será protegida de acuerdo con los principios de confidencialidad, integridad y disponibilidad.
  • Todo el personal asignado a la operación de los servicios administrados y del Centro de Operaciones en la Nube (Cloud Operations Center, CLOC, por sus siglas en inglés), vendedores, clientes, personal asignado a las áreas de soporte a la operación, proveedores y agentes externos que tengan acceso, contacto o realicen tratamiento sobre la información, sistemas de información, documentos, recursos y servicios de multinube, adoptarán los lineamientos contenidos en el presente documento y los documentos relacionados con el fin de preservar la seguridad de la información de forma obligatoria y como parte de sus funciones que aporten a la entrega de los servicios administrados de cómputo de nube.
  • La Política Seguridad de la Información para la entrega de servicios administrados de cómputo de nube, mesa de servicios del CLOC y CLOUD se encuentra soportada por políticas, normas y procedimientos específicos, los cuales guiarán el manejo adecuado de la información en la entrega de los servicios; adicionalmente se establecerán políticas específicas de seguridad de la información alineadas a los objetivos de controles de la norma ISO/IEC 27001:2013.
  • Los casos que no se hayan contemplado como parte de esta política y que pongan en riesgo la operación, los recursos y/o la reputación de la entrega de los servicios serán tratados como casos especiales y habrán de analizarse por medio de reuniones de revisión extraordinarias para verificar su aplicabilidad y lineamientos del control de plan de gestión de riesgos.
  • El incumplimiento de las disposiciones establecidas en la Política de Seguridad de la Información tendrá como resultado la aplicación de medidas, de acuerdo a la matriz de sanciones, conforme a la magnitud y característica del aspecto no cumplido.