menu
close_24px

Política de Seguridad de la Información

1. Objetivo, alcance y usuarios

El objetivo de este documento es establecer todos los lineamientos de seguridad aplicados por JAAK-IT para proteger sus activos y garantizar la confidencialidad, integridad y disponibilidad de su información. 

El presente documento es aplicable en todas las fases del ciclo de vida de la información, el cual incluye desde la creación o generación, distribución, almacenamiento, procesamiento, transporte y consulta, hasta su destrucción, así como también alcanza a todos los sistemas involucrados, áreas y personal, tanto interno como externo que trabaja o manipula de algún modo activos e información de la empresa.

Los usuarios de este documento son todos los colaboradores de JAAK-IT.

3. Lineamientos

3.2 Gestión de protección de datos personales

JAAK-IT comprende la importancia de la protección de datos personales y el cumplimiento de las normativas de seguridad aplicables al SGSI.

La seguridad implementada para la protección de datos de identificación personal debe se reduce a la necesidad de conocer con base en los puestos de trabajo. Con base en la Política de privacidad de datos personales.

Con lo anterior garantiza que se permee la integridad, confidencialidad y disponibilidad en los datos personales que gestiona.

Además, JAAK-IT implementa los siguientes métodos de enmascaramiento de datos para garantizar su protección:

  • Cifrado.
  • Anulación o eliminación de caracteres.
  • Variación de números y fechas.
  • Sustitución (cambiar un valor por otro).
  • Sustitución de los valores por su hash.

En caso de que sea necesario eliminar el vínculo y asociación del titular con sus datos personales, se implementa el Procedimiento de Anonimización de Datos Personales definido por la organización.

Todos los lineamientos establecidos en la presente política ayudan, en diferentes niveles, con la prevención de fuga de datos.

3.4 Gestión de los recursos humanos 

El área de People tiene como objetivo seleccionar a las personas  más adecuadas, mantener e incluso reforzar sus competencias, conocimientos, habilidades y comportamientos éticos y garantizar la seguridad de la información de la empresa. 

Para esto, JAAK-IT realiza las siguientes actividades:

  • Diseña e implementa un Procedimiento de Preselección y Selección de Personal que:
    • Valora el talento de las personas. 
    • Respeta la igualdad de oportunidades y no promueven la discriminación de ningún tipo. 
    • Asegura que la selección de personal se realiza con base en los criterios profesionales del candidato y alineados a las necesidades reales de la organización.
    • Cumple con la legislación laboral vigente.
    • Garantiza la confidencialidad y protección de los datos personales.
    • Comunica al candidato que se cuenta con el Aviso de Privacidad que puede consultar en la página web.
  • Realiza la investigación de los candidatos de acuerdo a las regulaciones aplicables para validar la información proporcionada en la solicitud de empleo, como lo puede ser:
    • Los datos de identificación de la persona.
    • Las referencias personales y laborales. 

Y una vez seleccionados los candidatos adecuados, se diseña e implementa un Proceso de Contratación y Desvinculación de Personal que: 

  • Asegura el establecimiento de los términos y condiciones de la relación laboral en el contrato acordado con el colaborador, incluyendo aquellos relacionados con las sanciones administrativas, la desvinculación y la devolución de todos los activos provistos por la compañía.
    • Puede ocurrir el caso en que personal interno o externo incurra en alguna desviación o incumplimiento de los lineamientos de seguridad establecidos por la empresa, lo cual será motivo de sanciones administrativas e incluso legales, las cuales quedan por escrito en los contratos celebrados.
  • Formaliza un compromiso de confidencialidad y lealtad con el colaborador para proteger la información de la empresa. 
  • Brinda la inducción y concientización pertinente a los colaboradores sobre sus responsabilidades de seguridad de la información y los riesgos asociados a sus funciones, así como también de la misión y visión de la empresa.
    • Para esto además implementa un programa anual de capacitación y concientización sobre seguridad de la información para todos los colaboradores, tanto internos como externos. 
  • Proporciona las políticas y procedimientos pertinentes que deben ser de conocimiento del colaborador para su lectura y comprensión.
  • Entrega anualmente la política de seguridad de la información a toda la empresa para su lectura y comprensión. 
  • Comunica los cambios en la política de seguridad de la información.
  • Solicita los accesos y permisos pertinentes de acuerdo al puesto asignado, siguiendo los lineamientos establecidos en esta política y el Procedimiento de Gestión de Accesos definido por la empresa. 

3.5 Gestión y clasificación de los activos de información

JAAK-IT Implementa una sólida gestión y clasificación de sus activos de información y los recursos que los respaldan, alineándose con los requisitos del negocio y el programa de seguridad de la empresa. 

3.5.1 Etiquetado de los activos de información

JAAK-IT etiqueta sus activos de información con base en su clasificación asignada para identificarlos fácil y rápidamente.

3.5.2 Intercambio de información con partes externas 

JAAK-IT Implementa políticas, procedimientos y controles formales para proteger el intercambio de información a través de distintos medios de comunicación y acorde con la clasificación de la información a intercambiar.

La empresa define los lineamientos del intercambio de información en su Política de Tratamiento de la Información. 

3.5.3 Saneamiento y destrucción de activos de información y eliminación de información

JAAK-IT reconoce la necesidad de sanear, destruir o eliminar los activos y la información que ya no se consideren necesarios para la organización.

JAAK-IT define los siguientes métodos de saneamiento y destrucción para garantizar que la reutilización o eliminación de activos y la información contenida en ellos sea segura: 

  • Sobreescritura electrónica.
  • Eliminación de versiones, copias y archivos temporales de todas las ubicaciones donde se encuentren. 

Tipo de activo de información

Saneamiento

Destrucción

Papel

No aplica.

Triturar o incinerar.

Dispositivos móviles

Borrar manualmente toda la información almacenada: contactos, SMS, etcétera. 

Restaurar los valores predeterminados del proveedor.

No aplica; el equipo es reutilizado.

Servidores

Eliminar la configuración de arreglo de discos, cuando aplique. 

Eliminar entornos virtuales

No aplica; toda la infraestructura es virtual

Equipo de cómputo

Desconfiguración de cuenta de correo y otros sistemas organizacionales.

Limpieza de exploradores (temporales, cookies, etcétera).

Desconfiguración de conexión de red.

No aplica; el equipo es reutilizado.

*Para equipos obsoletos, los discos duros son destruidos, se desarman completamente y se rayan los discos con un desarmador, además de tirar las partes de los disco en contenedores de basura distintos

3.6 Gestión de los riesgos de seguridad

La gestión de los riesgos de seguridad dentro de la organización tiene como objetivo facilitar la identificación y evaluación de los eventos potenciales que podrían provocar la pérdida, ya sea operativa o tecnológica, que afecten la confidencialidad, integridad y/o disponibilidad de la información. 

Otro de sus objetivos es establecer y priorizar planes de tratamiento adecuados que minimicen el impacto de los riesgos dentro de las operaciones de la compañía.

JAAK-IT establece un proceso formal dentro de su Metodología de Gestión de Riesgos que contempla lo siguiente: 

  • El alcance del proceso de gestión de riesgos y su necesidad de adaptación al contexto más actual de la empresa.
  • La implementación de métodos para la identificación y evaluación de los riesgos de seguridad de la información.
  • El análisis y decisión de los planes de tratamiento de riesgo. 
  • La definición del umbral de tolerancia y los criterios de aceptación de los riesgos.
  • La evaluación y aceptación del nivel de riesgo residual.
  • La planificación y evaluación periódica de los riesgos, la cual se realiza por lo menos una vez al año o cuando ocurran cambios significativos dentro de la empresa. 

JAAK-IT además garantiza que los riesgos de seguridad se abordan de manera efectiva en la gestión de proyectos y durante todo su ciclo de vida, considerando los siguientes aspectos:

  • La evaluación y tratamiento de los riesgos de seguridad de la información debe realizarse en una fase temprana del ciclo de vida del proyecto y con revisiones periódicas.
  • Se debe evaluar y monitorear el progreso y efectividad del tratamiento de los riesgos.

3.7 Gestión de los accesos

Con el objetivo de asignar y controlar los roles y permisos de los usuarios del personal o partes externas, utilizados para acceder a la información, sistemas o aplicaciones de la empresa. 

Los privilegios de administrador de los sistemas de la empresa son restringidos solo a personal que por sus funciones así lo requiera, se debe de contar con la autorizaciones correspondientes y los permisos deben estar en la Matriz de accesos..

Se debe de activar el doble factor de autenticación en todas las aplicaciones que así lo permitan.

El registro de los roles y permisos otorgados dentro de la empresa se realiza dentro de la Matriz de Accesos, la cual se revisa al menos una vez al año y se actualiza en cuanto ocurra un cambio en algún puesto o se integre alguna aplicación.

El acceso a entidades externas debe ser previamente autorizado por el propietario de la información y/o del activo correspondiente, y la necesidad del acceso debe estar debidamente justificada y ser coherente con la clasificación de la información definida por JAAK-IT. 

3.8 Gestión de contraseñas e información de autenticación

La gestión de contraseñas e información de autenticación tiene como objetivo asegurar la protección de la información sensible de la empresa por medio de contraseñas robustas y siguiendo las mejores prácticas de la industria. 

3.9 Gestión de la criptografía

La gestión de la criptografía tiene como objetivo proporcionar un nivel más alto de seguridad de la información para que ésta no pueda ser leída por personas no autorizadas. 

Y para esto, JAAK-IT utiliza métodos criptográficos que protegen la confidencialidad e integridad de su información, no solo durante su almacenamiento, sino también durante su transferencia y recepción.

3.11 Gestión de la tecnología y las operaciones 

La gestión de la tecnología y las operaciones considera todos los procesos operativos con el objetivo de garantizar la implementación de la seguridad de la información en las operaciones y servicios del negocio.

JAAK-IT Establece los lineamientos para estos procesos dentro de la Política de Tecnología y Operaciones de TI. 

3.12 Gestión de la seguridad en los sistemas y aplicaciones

La gestión de la seguridad en los sistemas, aplicaciones, plataformas o cualquier otra herramienta usada por la empresa tiene como objetivo implementar y controlar la seguridad en todos los entornos que soportan los servicios y operaciones del negocio. 

3.12.1 Filtrado web

JAAK-IT gestiona y restringe el acceso a todos sus colaboradores y personal externo que trabaje con activos y/o información de la organización de los siguientes tipos de sitios web para reducir y evitar la exposición a contenido malicioso.

3.13 Gestión de los registros de eventos (logs)

La gestión de los registros de eventos también llamados logs, tiene como objetivo registrar y monitorear las actividades realizadas en los sistemas de información de la empresa para la detección de acciones inusuales o accesos no autorizados a tiempo que permitan la prevención de incidentes de seguridad.

JAAK-IT establece los lineamientos para esto en la Política de Gestión de Logs y aplica las acciones definidas en el Procedimiento de Gestión de Logs. 

3.14 Gestión de las vulnerabilidades técnicas 

La gestión de vulnerabilidades técnicas tiene como objetivo revisar constantemente los sistemas de información para identificar vulnerabilidades y posibles brechas de seguridad que puedan ser explotadas para perjudicar a la organización, y de esta manera dar solución a ellas en el modo y momento adecuado. Esta gestión implica la evaluación continua de diversos tipos de vulnerabilidades, clasificadas según su criticidad.

La identificación y clasificación de estas vulnerabilidades permiten a la organización priorizar y abordar proactivamente las amenazas más críticas, asegurando que se tomen medidas adecuadas en función de la gravedad de cada situación.

3.15 Gestión de la seguridad en las redes

La gestión de la seguridad en las redes tiene como objetivo proteger la información y el tráfico de datos transmitidos por redes internas o externas, y para ello JAAK-IT implementa medidas de control.

3.16 Gestión del ciclo de vida del desarrollo

La gestión del ciclo de vida del desarrollo tiene como objetivo mantener un control adecuado de los cambios y adecuaciones, así como del mantenimiento e implementación de medidas de seguridad durante todas las fases que contempla el desarrollo de software.

Para esto, JAAK-IT cuenta con una Metodología de Desarrollo Seguro

3.17 Gestión de las relaciones con los proveedores

Los Proveedores de Bienes y Servicios están obligados a cumplir con diversas normativas y estándares en áreas clave como prácticas laborales, calidad, seguridad y salud, ética, transparencia, privacidad de la información, desarrollo de colaboradores y salarios competitivos. También deben comprometerse con el respeto y el desarrollo de las comunidades donde operan.

En el ámbito de la seguridad de la información, los proveedores deben asegurarse de que su personal o terceros subcontratados cumplan con las políticas establecidas, y se destaca la importancia de la formación y capacitación adecuada para el personal que presta servicios a JAAK-IT, tanto en aspectos específicos de la actividad como en seguridad de la información de manera transversal. 

3.17.1 Servicios de nube

Además de los lineamientos previamente establecidos para la gestión de las relaciones con los proveedores, que también aplican a los proveedores de servicios en la nube, JAAK-IT establece los criterios para implementar adecuadamente la seguridad en los servicios de la nube.

Criterios generales

  • En los procesos de contratación y uso de servicios en la nube se deben identificar, evaluar y gestionar los riesgos de seguridad asociados al tratamiento de información, acceso a información personal, riesgos legales, técnicos, de continuidad y todos los asociados a la transmisión de información por medio de la nube.
  • Al contratar servicios de nube se deben contemplar y tratar los riesgos de pérdida de continuidad, disponibilidad e integridad por fallas en las plataformas para generar los procesos de recuperación correspondientes. 
  • No se deben utilizar servicios en la nube cuyo análisis de riesgo indique niveles no tolerables para la organización. 

Los lineamientos para los criterios con base en el servicio se encuentran definidos en la Política de Nube.

3.18 Gestión de incidentes de seguridad

La gestión de incidentes de seguridad tiene como objetivo llevar un adecuado análisis, registro y tratamiento de los incidentes de seguridad que puedan afectar las operaciones o servicios de la compañía.

  • En caso que el incidente involucre datos personales o indisponibilidad del servicio al cliente, la incidencia deberá de ser notificada vía correo electrónico.
  • En caso de que el incidente involucre datos personales se debe de notificar a las entidades correspondientes con base en la matriz definida en el apartado de 3.1 Gestión con las instituciones de seguridad de la información. 

3.19 Gestión de la continuidad del negocio

La gestión de la continuidad del negocio tiene como objetivo asegurar que las operaciones de la empresa se mantengan funcionando adecuadamente aún durante eventos de crisis o de desastre. 

Para esto, JAAK-IT define los siguientes lineamientos:

  • La documentación, comunicación e implementación de planes de continuidad y recuperación ante desastres que garanticen la restauración de los servicios o elementos interrumpidos por eventos inesperados, y su correcto funcionamiento una vez levantados. 
  • La asignación de los responsables adecuados, con el conocimiento y capacitación pertinentes para la ejecución adecuada de los planes definidos por la empresa.
  • El aseguramiento de los recursos necesarios para la ejecución adecuada de los planes ante un evento inesperado. 
  • El mantenimiento de los planes, considerando la aplicación de pruebas y la mejora continua, siguiendo los lineamientos establecidos en el Plan de Recuperación ante Desastres y el Plan de Continuidad definidos por la empresa. 

3.20 Gestión del cumplimiento

La gestión del cumplimiento tiene como objetivo mantener a la empresa alineada a las diferentes regulaciones y normativas a las que está sujeta.

Para esto, JAAK-IT realiza lo siguiente: 

  • Identifica y documenta los requisitos, regulaciones y normativas aplicables al giro de negocio y a la empresa en general dentro de la Matriz de Evaluación de Requisitos Legales y Contractuales.
  • Verifica que los acuerdos con los colaboradores, clientes y proveedores cumplan con las pautas de las regulaciones aplicables, así como también que se identifiquen los riesgos de seguridad de la información derivados del servicio prestado o asociados a la relación con cada una de estas partes. 
  • Establece las políticas y procedimientos necesarios para adherirse a los requisitos regulatorios y normativos.
  • Realiza revisiones de cumplimiento y auditorías internas del SGSI de manera anual.

3.21 Gestión de la inteligencia de amenazas de seguridad

JAAK-IT implementa la inteligencia de amenazas para la examinación y análisis de datos e información relevante sobre posibles nuevas amenazas y vulnerabilidades, lo cual aporta valor en la toma de decisiones sobre el control de ellas, saber cómo prevenirlas, detectarlas y remediarlas. 

Esto se realiza siguiendo el Procedimiento de Gestión de Inteligencia de Amenazas establecido por la organización, y tiene los siguientes objetivos:

  • Mejora de procesos internos. 
  • Implementación de una gestión de riesgos de seguridad más eficiente que genere decisiones más sólidas e informadas. 
  • Mayor comprensión de los puntos débiles de la organización que permita la priorización adecuada de las decisiones a tomar. 
  • Amplio conocimiento en las amenazas que apoye la proactividad y la aplicación de medidas preventivas que impidan la ocurrencia de un ciberataque.

La información obtenida como resultado de la inteligencia de amenazas debe ser compartida en un formato comprensible a todas las personas pertinentes, partes interesadas e incluso con otras organizaciones para mejorar los procesos y sus resultados. 

Este texto es un extracto de la Política de Seguridad de la Información de JAAK-IT, la cual ha sido revisada y actualizada en Octubre de 2024.