POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
1. Introducción:
La Política de Seguridad de la Información (en adelante, Política) persigue la adopción de un conjunto de medidas destinadas a preservar la confidencialidad, integridad y disponibilidad de la información, que constituyen los tres componentes básicos de la seguridad de la información, y tiene como objetivo establecer los requisitos para proteger la información, los equipos y servicios tecnológicos que sirven de soporte para la mayoría de los procesos de negocio de Any Two Cloud Limitada, en adelante Any2cloud.
2. Objetivo:
El objetivo principal de la presente Política de alto nivel es definir los principios y las reglas básicas para la gestión de la seguridad de la información. El fin último es lograr que Any2cloud garantice la seguridad de la información y minimicen los riesgos derivados de un impacto provocado por una gestión ineficaz de la misma.
3. Compromiso:
Any2cloud se compromete a:
- Proteger la información contra todo tipo de amenazas, ya sean internas o externas, deliberadas o accidentales.
- Cumplir con la legislación y regulaciones aplicables relacionadas con la seguridad y privacidad de la información.
4. Principios Básicos:
Any2cloud establece los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de información:
- Cumplimiento Normativo: La política se adhiere a las mejores prácticas seguidas en la industria de seguridad y se asegura de cumplir con todas las leyes y regulaciones de protección de datos relevantes al giro de negocios de Any2cloud.
- Compromiso de la Alta Dirección: Se destaca la importancia de que todos los niveles directivos de Any2cloud estén comprometidos y apoyen la seguridad de la información, asegurando su coordinación con otras iniciativas estratégicas.
- Enfoque Integral: La seguridad de la información se aborda como un proceso integral que abarca aspectos técnicos, humanos, materiales y organizativos. Se debe incorporar en todas las etapas del ciclo de vida de los sistemas de información.
- Gestión de Riesgos: El análisis y gestión de riesgos son esenciales para mantener un entorno controlado. Se busca minimizar riesgos a niveles aceptables mediante la implementación de medidas de seguridad equilibradas con el impacto y la probabilidad de los riesgos.
- Proporcionalidad: Las medidas de seguridad deben ser proporcionales a los riesgos potenciales y la importancia de la información y servicios afectados.
- Mejora Continua: Se promueve la revisión periódica de las medidas de seguridad para adaptarse a la evolución de riesgos y sistemas de protección.
- Seguridad por Defecto: Los sistemas deben ser diseñados y configurados desde el principio para garantizar un nivel adecuado de seguridad.
- Integración de la Seguridad en la Organización: SSe enfatiza que las funciones de seguridad de la información deben estar integradas en todos los niveles jerárquicos del personal de Any2Cloud.
- Responsabilidad de todo el Personal: Se espera que todos los empleados del Any2Cloud conozcan, comprendan y asuman esta política de seguridad de la información.
- Enfoque Preventivo: Any2Cloud debe establecer una estrategia preventiva para analizar y mitigar los riesgos de seguridad de la información.
- k) Gestión del Riesgo Residual: Se menciona la importancia de definir el nivel de riesgo residual aceptado y los umbrales de tolerancia como parte de la estrategia de mejora continua.
5. Responsabilidades:
Todos los empleados y colaboradores de Any2cloud tienen la responsabilidad de:
- Conocer y cumplir con esta política.
- Reportar cualquier incidente de seguridad a su superior inmediato o al responsable de seguridad de la información.
6. Gestión de activos:
A continuación, se describen las principales prácticas y responsabilidades relacionadas con la gestión de activos:
Identificación e Inventario de Activos: Se debe identificar y mantener un inventario actualizado de todos los activos de información que son necesarios para respaldar los procesos de negocio de Any Two Cloud Limitada. Esto incluye hardware, software, datos, documentos y cualquier otro elemento relevante.
- Clasificación de Activos: Se debe identificar y mantener un inventario actualizado de todos los activos de información que son necesarios para respaldar los procesos de negocio de Any2Cloud. Esto incluye hardware, software, datos, documentos y cualquier otro elemento relevante..
- Responsabilidad de la Gestión Debe designarse un responsable encargado de la gestión de cada activo de información durante todo su ciclo de vida.
- Propietario de Activos: Cada activo de información debe tener un propietario designado. El propietario es responsable de asegurarse de que el activo esté correctamente inventariado, clasificado y protegido de manera adecuada. También debe supervisar cualquier cambio en el activo y su configuración.
- Actualización de Configuraciones: Las configuraciones de los activos deben actualizarse periódicamente. Esto no solo facilita el seguimiento de los activos, sino que también garantiza que la información esté actualizada y se ajuste a las necesidades de seguridad actuales.
En resumen, la gestión de activos de información es esencial para la seguridad de la información. Este proceso implica la identificación, clasificación, asignación de responsabilidades y mantenimiento de registros de activos. Al tener un control adecuado sobre los activos de información, Any2Cloud puede garantizar una protección efectiva de sus recursos de información crítica.
7. Seguridad en trabajo en la nube o cloud:
Any Two Cloud Limitada deberá mantener una política de trabajo en la nube o cloud computing que establezca las medidas de seguridad adecuadas para la confidencialidad, integridad y disponibilidad de la información. Dependiendo de tipo de modelo de servicio en la nube, se deberán aplicar diferentes medidas de seguridad:
- Infraestructura: en primer lugar, se deberá asegurar que el Proveedor monitoriza el entorno para detectar cambios no autorizados. Además, se deberán establecer niveles de autenticación y control de acceso para los administradores y las operaciones que estos realicen.
- Plataforma: de forma adicional a las medidas indicadas en el modelo de servicio de Infraestructura, el Proveedor del servicio deberá proveer servicios que lo ayudan a proteger sus datos, cuentas y cargas de trabajo del acceso no autorizado con capacidades de cifrado, administración de claves y descubrimiento de datos confidenciales para ayudarlo a proteger sus datos y cargas de trabajo.
- Software: de forma adicional a las medidas indicadas en el modelo de servicio de Plataforma, Any2Cloud y el Proveedor deberán seguir las mejores prácticas y métodos de seguridad de las aplicaciones, tales como:
- Gestión de Identidad y Acceso (IAM)
- Grupos de Seguridad
- Almacenamiento Seguro
- Firewalls de Aplicación Web (WAF)
- Servicios de Monitoreo y Registro
- VPC (Virtual Private Cloud)
- Autenticación Multifactor (MFA)
- Encriptación de Datos
8. Acceso a la información:
El acceso a la información se basará en el principio de "mínimo privilegio", otorgando a los usuarios sólo el acceso necesario para cumplir con sus funciones.
9. Cumplimiento regulatorio:
Any2Cloud deberá comprometerse a dotar los recursos necesarios para dar cumplimiento a la legislación y regulación aplicable a su actividad en materia de seguridad de la información y establecer la responsabilidad de dicho cumplimiento sobre todos sus miembros.
10. Sanciones:
Cualquier violación de la presente Política de Seguridad de la Información puede resultar en la toma de las acciones disciplinarias correspondientes. Es responsabilidad de todos los empleados de Any2Cloud notificar a su Supervisor cualquier evento o situación que pudiera suponer el incumplimiento de alguna de las directrices definidas por la presente Política.
11. Revisión de la política:
La presente Política de Seguridad de la Información, será revisada y aprobada de forma periódica. No obstante, si tuvieran lugar cambios significativos en el entorno de amenazas y riesgos, ya sean estos de tipo operativo, legal, regulatorio o contractual, se procederá a su revisión siempre que se considere necesario, asegurando así que la Política permanece adaptada en todo momento a la realidad de Any2Cloud.