Skip links
ACCEDER
Innovexa

Política de Seguridad de la Información

  1. Introducción

 

Esta Política de Seguridad de la Información es el reflejo del compromiso y la implicación de la Gerencia General de INNOVEXA con la protección de los servicios y los activos de información gestionados por medio de las Tecnologías de la Información y las Comunicaciones (TIC) en la compañía y en su relación con terceros. La implementación de esta política implica el total compromiso de la Gerencia General de todos los trabajadores de la compañía para garantizar su cumplimiento, definiendo de manera clara y concisa los objetivos que se pretenden alcanzar, junto con su forma de aprobación y de revisión, la comunicación de estos, su alcance y evolución (revisiones, actualizaciones o mejoras), y las responsabilidades correspondientes.

 

  1. Contexto

 

En el contexto actual de uso creciente y continuo de tecnologías de la información y acceso abierto a datos, INNOVEXA es plenamente consciente de la importancia vital y el gran valor de la información generada y derivada de sus actividades, siendo uno de los activos más importantes de la compañía. Así, los sistemas de información y su almacenamiento se convierten en una parte crítica y clave para asegurar las principales actividades de comunicación en el día a día de la compañía, tanto con su propio personal, como con clientes, proveedores, partners, etc. Proteger estos sistemas e información es proteger el negocio y la compañía en su conjunto, resolviendo los retos de seguridad para prevenir, detectar, reaccionar y recuperarse de posibles incidentes. Por tanto, es esencial establecer un conjunto de global de acciones para el tratamiento y la gestión de los riesgos asociados a la seguridad de la información y de los sistemas, definiendo las bases de fiabilidad y los niveles de riesgo que es tolerable asumir en cada caso, asegurando en la medida de lo posible que la información y los servicios de la compañía no se vean comprometidos por incidentes de seguridad.

 

  1. Misión

 

El objetivo de esta política es proteger a INNOVEXA de posibles problemas de seguridad con sus sistemas de información y con la información que almacenan, y que podrían tener un impacto negativo en sus operaciones, infraestructuras, generación y continuidad del negocio y/o reputación, desarrollando los mecanismos necesarios para recuperar, en un plazo razonable, la actividad o servicio afectado, minimizando en la medida de lo posible las consecuencias adversas generadas. Cumplir con los requisitos y mejorar de forma continua la eficacia del Sistema de Gestión de la Seguridad de la Información, mediante la implantación de sistemas de medición y seguimiento de los servicios realizados para nuestros clientes, así como de objetivos de Seguridad, es una parte imprescindible para lograr nuestros objetivos. Así mismo, es una parte esencial de esta política concienciar a toda la compañía y a nuestros proveedores sobre los problemas de seguridad que pueden existir, y sobre la importancia de su prevención, promoviendo una cultura corporativa de seguridad de la información. Es imprescindible que todos los empleados, así como todos los empleados de las empresas proveedoras de INNOVEXA, independientemente de rango y responsabilidades, conozcan y apliquen buenas prácticas en el uso de sistemas y gestión de información, y conozcan, entiendan y cumplan las normas y las medidas de protección adoptadas en materia de seguridad, así como sus derechos, deberes y responsabilidades. Así mismo, es necesario advertir de los riesgos que puede suponer un mal uso de los dispositivos y tecnologías utilizados en el desarrollo de su trabajo, y de las posibles sanciones aplicables ante negligencias que pongan en riesgo los activos de información de la empresa.

 

  1. Responsabilidades

 

El máximo responsable del Sistema de Gestión de Seguridad de la Información es Juan Joel Paucar Jímenez, quien asume las responsabilidades de CISO (Chief Information Security Officer) en INNOVEXA.

 

Todo el personal de INNOVEXA será responsable de: · Conocer y cumplir esta Política de Seguridad de la Información. · Proteger en todo momento los activos de información, siendo conscientes de su seguridad y actuando siempre de manera responsable, profesional y ética. · Reportar a la Gerencia General o al CISO cualquier brecha en la seguridad de la información. · Encargarse de la ejecución de las acciones que el comité decida, apruebe y asigne en cada caso para cumplir con la implantación y aplicación de esta política.

 

  1. Marco normativo

 

Esta política de seguridad de la información deberá tener en cuenta y adaptarse al siguiente marco normativo, asegurando el conocimiento y cumplimiento por parte de la empresa de las obligaciones legales en materia de seguridad de la información.

 

El incumplimiento de la legislación vigente aplicable en materia de seguridad de la información puede conllevar sanciones penales y económicas, provocando daños significativos en la imagen de la compañía, y pérdida de confianza por parte de los clientes.

 

De manera que, la definición de la política se establece considerando los siguientes recursos legales:

 

  • Constitución de la República
  • Código Orgánico Monetario y Financiero
  • Código Orgánico Integral Penal (COIP)
  • Ley Orgánica de Protección de Datos Personales

 

  1. Compromisos y principios.

 

INNOVEXA se compromete a precautelar la seguridad de la información propia y de terceros, obtenida directa o indirectamente como parte su gestión y actividades institucionales.

 

  1. Política General de Seguridad de la Información

 

INNOVEXA a través de sus departamentos respectivos, deberá cumplir lo siguiente:

 

  1. Establecer lineamientos para la identificación y levantamiento de sus activos de información crítica.
  2. Determinar los objetivos del Sistema de Gestión de Seguridad de la Información alineados a sus requerimientos y necesidades del contexto interno y externo.
  3. Preservar y mantener la confidencialidad, integridad y disponibilidad de sus activos de información críticos, gestionando adecuadamente los riesgos producto de las diferentes amenazas y la correcta identificación de sus vulnerabilidades.
  4. Establecer, implementar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información, considerando un marco adecuado de gestión de riesgos.
  5. Reconocer y mantener el cumplimiento de los requerimientos dispuestos por leyes, reglamentos, normas, relacionados a la Seguridad de la Información.
  6. Definir los lineamientos para clasificar y etiquetar adecuadamente los activos de información.
  7. Mantener la información crítica y sensible, que no esté clasificada con carácter de confidencial hasta su etiquetado formal. Dicho tratamiento deberá ser establecido en su proceso o procedimiento de clasificación de la información que por su extensión no se incluye en el presente documento.
  8. Disponer la no divulgación y reproducción, de información catalogada como confidencial y/o restringida sin la autorización explícita para dicho efecto.
  9. Disponer la propiedad de INNOVEXA sobre la información que gestiona o genera por la ejecución de sus propias actividades.
  10. Disponer que la propiedad de la información considerará como tal a las patentes, técnicas, modelos, invenciones, metodologías, conocimiento y experiencia, procesos, algoritmos, programas ejecutables, diseños, información financiera, información de evaluaciones y estudios realizados a entidades controladas, etc.; así como la información, productos, servicios resultantes de consultorías y proyectos desarrollados para la institución por parte de proveedores o consultores, entre otros.
  11. Mantener la implementación de controles físicos de acceso a personal autorizado donde se administre información crítica o sensible.
  12. Incluir acuerdos de confidencialidad en los contratos con terceros (proveedores, consultoras, etc.) que prestan servicios, así como de todos los empleados de la institución.
  13. Definir y delegar los roles y responsabilidades, sobre los activos de información críticos considerándose para el efecto la designación de propietarios, custodios y usuarios de información por parte de los responsables de la aplicación de los procesos institucionales.
  14. Definir o delegar las funciones y responsabilidades al CISO como máximo responsable de seguridad de la información.
  15. Definir la inclusión de acuerdos de intercambios de información, en los que se incluyan los lineamientos, así como los acuerdos o cláusulas de confidencialidad firmado a su vez por las máximas autoridades de las partes involucradas en procesos de intercambio de información.
  16. Fomentar una cultura organizacional en temas de seguridad de la información, a través de planes de capacitación y concientización.
  17. Definir los roles y responsabilidades del personal frente a la seguridad de la información.
  18. Directrices
  19. En caso de existir riesgos de ciberataques o hackeos del sistema se limitará la tasa de peticiones que el servidor conozca dentro de un tiempo determinado
  20. Durante el ataque se revisará el funcionamiento del firewall y posibles configuraciones nuevas que puedan potencializar su funcionamiento ante el ataque.
  21. En caso de detectar infecciones en los dispositivos por individual se eliminará dicha infección con un software de seguridad.
  22. Bajo ningún motivo en caso de algún ataque se desplegaran instancias sin IP’s públicas.

 

  1. Organización de la seguridad

 

La Gerencia General será responsable de la organización de la seguridad de las siguientes áreas:

 

  1. Confidencialidad: garantizando que la información y los sistemas son solo accesibles por los usuarios autorizados.
  2. Integridad: salvaguardar la precisión e integridad de la información y los métodos de procesamiento.
  3. Disponibilidad: asegurar que los usuarios autorizados tienen acceso a la información y los sistemas requeridos.
  4. Política de seguridad de contraseña y navegación de informacion del CLIENTE solo en página web.
  5. Las contraseñas de los equipos serán conocidas por la gerencia general y los socios de la compañía y serán modificadas, por seguridad, cada dos años.
  6. Se instalarán filtros de internet, a fin de evitar que los asesores accedan a contenidos con virus u otros malwares.
  7. Toda la información producida y generada en el día se almacenará en un disco no regrabable.
  8. Política de gestión de respaldo y recuperación de información del CLIENTE:

 

  1. Se generarán respaldos en discos externos almacenados en el cuarto frío de máquinas de la información que se genere diariamente por cada persona.
  2. En caso de pérdida de información el técnico de sistemas se encargará de buscar en las carpetas del computador, así como en la memoria temporal los archivos.
  3. De perderse totalmente la información, se pedirá al cliente dicha información después de haber reportado que pese a la búsqueda esta se ha perdido por caso fortuito o fuerza mayor.
  4. Todos los archivos deberán encontrarse almacenados en orden, y con carpetas vinculadas por cartera asignada.

 

  1. Política de seguridad física
  2. A efectos de mantener la seguridad física en el lugar, cada persona tendrá que registrar su entrada con un huellero, el cual abrirá automáticamente la puerta.
  3. Cada equipo tendrá un candado cuando este en desuso.
  4. Las oficinas cuentan con una alarma para casos de ingresos no autorizados.
  5. No se permitirá que persona alguna suba sin la autorización del guardia de recepción.

 

  1. Mejora continua

 

El principal elemento del proceso de mejora en INNOVEXA son las no conformidades identificadas. Dichas no conformidades deben resolverse con acciones correctivas efectivas para asegurar que no se repitan.

 

Para mejorar de forma continua la eficiencia del Sistema de Gestión de Seguridad de la Información (SGSI), se revisarán de forma periódica: · La política de seguridad de la información. · Los objetivos de seguridad de la información. · Los resultados de las auditorías. · El análisis de los eventos seguidos. · Las acciones correctivas y preventivas.

 

  1. Protección de datos de carácter personal

 

INNOVEXA cuenta con las medidas oportunas para garantizar la seguridad en el tratamiento de datos de carácter personal con el nivel de seguridad requerido por la normativa vigente.

 

El procedimiento interno correspondiente se encuentra convenientemente referenciado en el anexo de políticas y procedimientos complementarios a esta Política de Seguridad de la Información que se adjunta al final de este documento.

 

  1. Gestión de riesgos

 

Todos los sistemas sujetos a esta Política de Seguridad de la Información serán objeto de un análisis de vulnerabilidades periódico para evaluar las amenazas y riesgos a los que están potencialmente expuestos, a fin de poder limitarlos o reducirlos. El Comité de Seguridad establecerá la regularidad con la que se realizará el análisis, así como los supuestos que conllevarían un cambio en las fechas planificadas, estos se pueden tratar de cambios sustanciales en la información o servicios, incidentes graves de seguridad, reporte de vulnerabilidades de alto riesgo, u otros. Además, propondrá medidas de seguridad en caso de que se materialicen estos supuestos siempre que lo vean oportuno para mantener la seguridad de INNOVEXA. Se establecerá una valoración de referencia para los distintos tipos de información y sistemas implicados que permita estandarizar el análisis de vulnerabilidades y facilitar su realización.

 

  1. Terceras partes

 

Cuando INNOVEXA preste servicios a terceros, contrate servicios especializados externos, establezca acuerdos de colaboración con partners, o contratos de suministro con proveedores, dando soporte a parte de nuestra actividad, se deberá asegurar que estos terceros actores, que pueden tener acceso a parte de nuestra información, comparten el mismo nivel de seguridad que hemos establecido para nuestra compañía, quedando suficientemente protegida en base a los acuerdos y contratos correspondientes.

 

Firma atentamente,

Juan Joel Paucar Jímenez