Política de Seguridad de la Información

Introducción

Objetivos

Establecer los principios para asegurar que los activos de tecnología de la información de Sofis Solutions (personas, procesos, información y tecnología) son protegidos adecuadamente.

Justificación

Necesidad de contar con una política para establecer un marco de trabajo integral para salvaguardar los activos de información de la organización y asegurar la confidencialidad, integridad y disponibilidad de los datos.

Alcance

Esta política aplica a:

  1. Todos los empleados, contratistas, consultores, personal temporario, pasantes, y cualquier otra forma de relación profesional con Sofis Solutions, incluyendo al personal de terceras partes.
  2. Todas las ubicaciones donde se alojan o utilizan activos de tecnología de la información de Sofis Solutions.
  3. Todos los activos de tecnología de la información de Sofis Solutions.
  4. Cualquier información que no esté específicamente identificada como propiedad de otras partes que sea transmitida o almacenada en activos de tecnología de la información de Sofis Solutions o contratados por esta (incluyendo archivos, correos y mensajería instantánea).
  5. Todos los dispositivos conectados a redes de Sofis Solutions o utilizados para acceder a sus activos.

Audiencia

Todo el equipo de Sofis Solutions y otras partes interesadas.


Responsabilidades

Roles y responsabilidades

  1. La Dirección de Sofis Solutions es responsable final por la gestión de riesgos y amenazas de seguridad y es quien supervisa la estrategia, la financiación y los recursos para seguridad de la información, apoyándose en gerentes y coordinadores.
  2. La Dirección tiene la autoridad para:
    1. Establecer la estrategia, gobernanza y vigilancia de la seguridad de la información.
    2. Asignar responsabilidades de gestión sobre la seguridad de la información.
  3. La Dirección es responsable de:
    1. Ejercer el liderazgo en políticas, estándares y lineamientos de Seguridad de la información.
    2. Identificar y documentar los controles de seguridad de la información y monitorear la efectividad de los mismos.
    3. Gestión general de riesgos y amenazas de seguridad de la información de Sofis Solutions.
    4. Brindar asistencia y sensibilización en temas de ciberseguridad.
    5. Gestionar incidentes de seguridad de la información.
    6. Dar soporte a eventos de privacidad y cumplimiento en el marco de la política de privacidad existente.
  4. Gerentes, Encargados y Coordinadores de servicios son responsables de la gestión de riesgos y amenazas de seguridad de la información dentro de sus áreas de responsabilidad.
  5. Los dueños de activos de información y de TI son responsables por:
    1. Evaluar, reportar y escalar riesgos y amenazas de seguridad de la información, incluyendo aspectos de disponibilidad, confidencialidad e integridad, asociados con sus activos de información y de TI.
    2. Evaluar y gestionar riesgos y amenazas de seguridad de la información asociados con sus proveedores de servicios.
    3. Supervisar el acceso a sus activos de TI.
    4. Asegurar la gestión sobre sus controles de seguridad de la información.
    5. Cumplimiento con requerimientos generales establecidos o aprobados por la organización, los legales relevantes, regulatorios y políticas aplicables.
  6. Los colaboradores de Sofis Solutions son responsables de cumplir la política de seguridad.
  7. Los colaboradores son responsables de supervisar y salvaguardar los datos y sistemas de información dentro de su ámbito de control y propiedad definida. Se les requiere el cumplimiento con las políticas y estándares relativos a riesgos y el inmediato reporte de cualquier incidente o amenaza de seguridad de la información real o potencial mediante los procedimientos definidos.

Desarrollo

Definición de Seguridad de la Información

La seguridad de la información refiere a la preservación de la confidencialidad, disponibilidad e integridad de la información de la empresa o de terceros.

Lineamientos y requerimientos

  1. Se debe mantener un inventario de activos de información y de tecnología de la información.
  2. Se debe gestionar los riesgos y amenazas de seguridad de la información a través del ciclo de vida de los activos de tecnología de la información.
  3. Los activos de tecnología de la información deben ser asegurados de acuerdo con el riesgo que representen y con controles de mitigación apropiados.
  4. Todos los accesos a activos de TI deben ser aprobados en base a necesidad y deben ser revisados periódicamente.
  5. Se deben monitorear y analizar en tiempo y forma los eventos de seguridad de la información y actividades anómalas.
  6. Los incidentes de seguridad de la información deben ser gestionados y mitigados en tiempo y forma.
  7. Se deben desarrollar y probar planes de continuidad del negocio y de recuperación contra desastres.
  8. Los activos de información y de TI deben ser gestionados de acuerdo con la legislación, regulaciones aplicables y contratos que apliquen.
  9. El acceso remoto está restringido a los requerimientos de operación del negocio de Sofis Solutions y deberá contar con configuraciones de seguridad y métodos de cifrado robustos.
  10. La política de seguridad de la información sirve como marco para un programa documentado e integrador que incluye políticas, procesos y procedimientos relativos al acceso, uso, protección y gestión de activos lógicos y físicos.
  11. Bajo el marco de esta política se establecen periódicamente objetivos de seguridad de la información dentro del SGSI (Sistema de Gestión de Seguridad de la Información), y se asegura su alineación a requisitos legales, reglamentarios, contractuales, de negocio, objetivos específicos y la estrategia de la organización.
  12. Los incidentes de seguridad deben ser inmediatamente reportados a Dirección.
  13. Los indicadores de desempeño de seguridad de la información deben ser reportados al menos anualmente a la Dirección.
  14. Los indicadores de riesgo de seguridad de la información deben ser reportados al menos anualmente a la Dirección y al Coordinador del Sistema Integrado de Gestión Sostenible.

Compromiso con la mejora continua

Mediante esta Política se establece un compromiso con la mejora continua del Sistema de Gestión de Seguridad de la Información establecido. Esto incluye la gestión en base al ciclo PDCA, considerando, entre otras herramientas: la gestión de riesgos y amenazas relacionadas, la ejecución de controles y revisiones, y la evaluación de la eficacia del sistema a través de revisiones periódicas, auditorías internas y externas, y los procesos de mejora establecidos en Sofis Solutions.

Consecuencias de violaciones a la política

Infracciones a esta política serán consideradas causales de medidas disciplinarias previstas a nivel general en la normativa de la jurisdicción correspondiente a cada empleado y a nivel particular en el contrato de trabajo y en el acuerdo de confidencialidad.

Excepciones

Cualquier excepción a esta política requiere aprobación formal de Dirección o de quien haya sido debidamente delegado.

Preguntas e información de contacto

En caso de dudas o preguntas acerca de esta política de seguridad de la información o cualquier contenido citado aquí puede dirigirse por correo a seguridad@sofis.lat

Versión: 6

Fecha de aprobación: 07-07-2025.