Política de Seguridad de la Información
COMPROMISO DE LA DIRECCIÓN
La alta dirección de TNO GROUP S.A. DE C.V. se compromete con la implementación de un SGSI para establecer un marco de confianza en los servicios ofrecidos a nuestros clientes y proveedores, que cumpla con los lineamientos de la norma ISO-IEC-27001:2013, proporcionando los recursos necesarios tanto humanos como financieros.
- Impulsar la mejora continua en materia de seguridad de la información en todas las operaciones relevantes de la organización.
- Asegurar el cumplimiento de los requerimientos de las autoridades, de los clientes y de las partes interesadas en materia de Seguridad de la Información.
- Supervisar el cumplimiento de las Políticas internas de Seguridad de la información y las Políticas o directrices relacionadas.
2. POLÍTICA DE LA SEGURIDAD DE LA INFORMACIÓN
2.1 Objetivo del SGSI
La alta dirección de TNO GROUP S.A. DE C.V., entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un sistema de gestión de seguridad de la información buscando establecer un marco de confianza en el ejercicio de sus servicios con sus clientes y proveedores, todo enmarcado en el cumplimiento de las leyes y en concordancia con la misión y visión de la entidad.
El objetivo de este documento es establecer las políticas, prácticas y lineamientos internos aplicables para el Sistema de Gestión de Seguridad de la Información (de ahora en más SGSI) para TNO GROUP S.A. DE C.V.
2.2 Enunciado general
La organización implementará, mantendrá y mejorará de manera continua un Sistema de Gestión de Seguridad de la Información basado en la norma ISO-27001:2013. Este sistema procurará mantener controles adecuados para mitigar los riesgos de seguridad de la información y así proteger la confidencialidad, la integridad y la continuidad de la información en todas las áreas tanto de servicios internos como de las diferentes unidades de negocio.
2.3 Difusión
Todos los documentos, políticas, procedimientos, registros relevantes y actividades relacionadas con el SGSI, se difundirán a todos los colaboradores de la organización, así como al resto de las partes interesadas (Clientes, proveedores, consejo de administración), con base en su nivel de involucramiento en el sistema mismo.
2.4 Riesgos a considerar
Aplicamos una gestión de riesgos proactiva para identificar, evaluar y tratar los riesgos relacionados con la seguridad de la información.
La organización gestionará de manera sistemática los riesgos inherentes a la seguridad de la información que han sido identificados como moderados, altos y críticos.
2.4 Responsabilidades
El comité de Seguridad de la Información es responsable de:
- La seguridad de la información de la organización.
- Definir los objetivos estratégicos de seguridad de la información.
- El proceso y la administración de la Seguridad de la Información.
- Políticas y directrices complementarias a la presente política.
- Desarrollar estrategias y conceptos de la Seguridad de la Información
Alta dirección es responsable de:
La dirección general y/o la comisión de seguridad de la información en el consejo de administración son los responsables de revisar y aprobar los objetivos, estrategias y políticas de Seguridad de la Información en la organización.
Colaboradores son responsables de:
Todos los colaboradores son responsables de cumplir con los lineamientos de seguridad de la información y con cualquier reglamento relacionado; y son responsables de reportar cualquier riesgo o incidente de seguridad de la información detectado.
Proveedores son responsables de:
Los proveedores deben cumplir con esta política y cualquier reglamento relacionado.
2.5 Sistemas de Gestión de servicios
Todos los sistemas de gestión de servicios en las unidades de negocio o departamentos internos de la organización se alinearán a esta política.
3. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN
Nos comprometemos a mantener el cumplimiento con todas las leyes y regulaciones aplicables en materia de seguridad de la información. La organización planifica, establece y emite objetivos de seguridad de la información para las funciones y niveles pertinentes.
3.1 Normas y Leyes:
- Cumplir con la ley de protección de datos personales
- Lograr y mantener la certificación de la norma ISO 27001-2013.
3.2 Roles y Facultades:
- Gestionar de forma controlada la identidad, roles y facultades de los usuarios de las aplicaciones críticas y ambientes de desarrollo.
- Gestionar que la información sensible tanto interna como de nuestros clientes, sea manejada con confidencialidad.
3.3 Disponibilidad
- Asegurar el cumplimiento de niveles de servicio en temas de disponibilidad.
- Disminuir al mínimo posible los incidentes críticos de disponibilidad.
3.4 Difusión:
- Difundir de manera efectiva la política y conceptos básicos de Seguridad de la Información.
4. ESTRUCTURA DE ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN
4.1 Alcance del SGSI:
El siguiente documento impacta a los procesos y controles que sirven para el cumplimiento del Sistema de Gestión de la Seguridad de la Información, incluidos en el alcance definido por la organización.
4.2. Roles y responsabilidades:
En el documento POL-SI-V2 “Descriptivo de roles y responsabilidades” se detalla cada uno de los roles que participan en el Sistema de Gestión de Seguridad de la Información.
4.3. Objetivos de Seguridad de la Información:
Nuestros objetivos de seguridad de la información incluyen asegurar y mantener la confidencialidad, integridad y disponibilidad de la información empresarial, y establecer un plan de respuesta efectivo ante incidentes de seguridad.
4.4. Concienciación y Capacitación:
Fomentamos una cultura de seguridad mediante la concientización y capacitación continua de nuestro personal en temas de seguridad de la información.
4.5. Punto de Contacto para Seguridad de la Información:
Para consultas o reportes relacionados con la seguridad de la información, por favor contáctenos al correo: seguridad@tecnetone.com