POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Versión 1.1
Revisión: 15 diciembre 2022
1. Introducción:
La Política de Seguridad de la Información (en adelante, Política) persigue la adopción de un conjunto de medidas destinadas a preservar la confidencialidad, integridad y disponibilidad de la información, que constituyen los tres componentes básicos de la seguridad de la información, y tiene como objetivo establecer los requisitos para proteger la información, los equipos y servicios tecnológicos que sirven de soporte para la mayoría de los procesos de negocio de Any Two Cloud Limitada.
​
2. Objetivo:
El objetivo principal de la presente Política de alto nivel es definir los principios y las reglas básicas para la gestión de la seguridad de la información. El fin último es lograr que Any Two Cloud Limitada garantice la seguridad de la información y minimicen los riesgos derivados de un impacto provocado por una gestión ineficaz de la misma.
​
3. Compromiso:
Any Two Cloud Limitada se compromete a:
a) Proteger la información contra todo tipo de amenazas, ya sean internas o externas, deliberadas o accidentales.
b) Cumplir con la legislación y regulaciones aplicables relacionadas con la seguridad y privacidad de la información.
​
4. Principios Básicos:
Any Two Cloud Limitada establece los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de información:
a) Cumplimiento Normativo: La política se adhiere a las mejores prácticas de seguridad de la información según el estándar ISO/IEC 27001 y se asegura de cumplir con todas las leyes y regulaciones de protección de datos relevantes.
b) Compromiso de la Alta Dirección: Se destaca la importancia de que todos los niveles directivos de Any Two Cloud Limitada estén comprometidos y apoyen la seguridad de la información, asegurando su coordinación con otras iniciativas estratégicas.
c) Enfoque Integral: La seguridad de la información se aborda como un proceso integral que abarca aspectos técnicos, humanos, materiales y organizativos. Se debe incorporar en todas las etapas del ciclo de vida de los sistemas de información.
d) Gestión de Riesgos: El análisis y gestión de riesgos son esenciales para mantener un entorno controlado. Se busca minimizar riesgos a niveles aceptables mediante la implementación de medidas de seguridad equilibradas con el impacto y la probabilidad de los riesgos.
e) Proporcionalidad: Las medidas de seguridad deben ser proporcionales a los riesgos potenciales y la importancia de la información y servicios afectados.
f) Mejora Continua: Se promueve la revisión y actualización periódica de las medidas de seguridad para adaptarse a la evolución de riesgos y sistemas de protección. Se menciona la importancia de la revisión y auditoría por personal cualificado.
g) Seguridad por Defecto: Los sistemas deben ser diseñados y configurados desde el principio para garantizar un nivel adecuado de seguridad.
h) Integración de la Seguridad en la Organización: Se enfatiza que las funciones de seguridad de la información deben estar integradas en todos los niveles jerárquicos del personal de Any Two Cloud Limitada.
i) Responsabilidad de todo el Personal: Se espera que todos los empleados del Any Two Cloud Limitada conozcan, comprendan y asuman esta política de seguridad de la información.
j) Enfoque Preventivo: Any Two Cloud Limitada debe establecer una estrategia preventiva para analizar y mitigar los riesgos de seguridad de la información. Esto incluye la identificación de riesgos, la implementación de controles y la reevaluación periódica de los procedimientos.
k) Gestión del Riesgo Residual: Se menciona la importancia de definir el nivel de riesgo residual aceptado y los umbrales de tolerancia como parte de la estrategia de mejora continua.
5. Responsabilidades:
Todos los empleados y colaboradores de Any Two Cloud Limitada tienen la responsabilidad de:
a) Conocer y cumplir con esta política.
b) Reportar cualquier incidente de seguridad a su superior inmediato o al responsable de seguridad de la información.
​
6. Gestión de activos:
Todos los activos de información deben ser identificados y clasificados según su valor, requisitos legales, sensibilidad y criticidad para la organización. A continuación, se describen las principales prácticas y responsabilidades relacionadas con la gestión de activos:
a) Identificación e Inventario de Activos: Se debe identificar y mantener un inventario actualizado de todos los activos de información que son necesarios para respaldar los procesos de negocio de Any Two Cloud Limitada. Esto incluye hardware, software, datos, documentos y cualquier otro elemento relevante.
b) Clasificación de Activos: Los activos de información deben ser clasificados según el tipo de información que contienen o manejan.
c) Responsabilidad de la Gestión de Activos: Debe designarse un responsable encargado de la gestión de cada activo de información durante todo su ciclo de vida. Este responsable es responsable de mantener un registro formal de los usuarios autorizados a acceder al activo.
d) Propietario de Activos: Cada activo de información debe tener un propietario designado. El propietario es responsable de asegurarse de que el activo esté correctamente inventariado, clasificado y protegido de manera adecuada. También debe supervisar cualquier cambio en el activo y su configuración.
e) Actualización de Configuraciones: Las configuraciones de los activos deben actualizarse periódicamente. Esto no solo facilita el seguimiento de los activos, sino que también garantiza que la información esté actualizada y se ajuste a las necesidades de seguridad actuales.
En resumen, la gestión de activos de información es esencial para la seguridad de la información. Este proceso implica la identificación, clasificación, asignación de responsabilidades y mantenimiento de registros de activos. Al tener un control adecuado sobre los activos de información, Any Two Cloud Limitada puede garantizar una protección efectiva de sus recursos de información crítica.
​
8. Seguridad Física y del Entorno:
Los espacios físicos donde se ubiquen los sistemas de información de Any Two Cloud Limitada deberán estar protegidos adecuadamente mediante controles de acceso perimetrales, sistemas de vigilancia y medidas preventivas de manera que puedan evitarse o mitigar el impacto de incidentes de Seguridad (accesos no autorizados a sistemas de información, robo o sabotaje) y accidentes ambientales (incendios, inundaciones, cortes de suministro eléctrico, etc.).
​
9. Seguridad en trabajo en la nube o cloud:
Any Two Cloud Limitada deberá mantener una política de trabajo en la nube o cloud computing que establezca las medidas de seguridad adecuadas para la confidencialidad, integridad y disponibilidad de la información. Dependiendo de tipo de modelo de servicio en la nube, se deberán aplicar diferentes medidas de seguridad:
a) Infraestructura: en primer lugar, se deberá asegurar que el Proveedor monitoriza el entorno para detectar cambios no autorizados. Además, se deberán establecer fuertes niveles de autenticación y control de acceso para los administradores y las operaciones que estos realicen. Por último, las instalaciones y/o configuraciones de los elementos comunes deberán estar registrados y conectados con el objetivo de obtener la trazabilidad adecuada.
b) Plataforma: de forma adicional a las medidas indicadas en el modelo de servicio de Infraestructura, el Proveedor del servicio deberá proveer servicios que lo ayudan a proteger sus datos, cuentas y cargas de trabajo del acceso no autorizado con capacidades de cifrado, administración de claves y descubrimiento de datos confidenciales para ayudarlo a proteger sus datos y cargas de trabajo.
c) Software: de forma adicional a las medidas indicadas en el modelo de servicio de Plataforma, Any Two Cloud Limitada y el Proveedor deberán seguir las mejores prácticas y métodos de seguridad de las aplicaciones, tales como:
i. Gestión de Identidad y Acceso (IAM)
ii. Grupos de Seguridad
iii. Almacenamiento Seguro
iv. Firewalls de Aplicación Web (WAF)
v. Servicios de Monitoreo y Registro
vi. VPC (Virtual Private Cloud)
vii. Autenticación Multifactor (MFA)
viii. Encriptación de Datos
​
10. Acceso a la información:
El acceso a la información se basará en el principio de "mínimo privilegio", otorgando a los usuarios sólo el acceso necesario para cumplir con sus funciones.
​
11. Gestión de incidentes:
Any Two Cloud Limitada debe establecer y mantener un proceso formal para reportar y gestionar incidentes de seguridad de la información.
​
12. Cumplimiento regulatorio:
Any Two Cloud Limitada deberá comprometerse a dotar los recursos necesarios para dar cumplimiento a toda la legislación y regulación aplicable a su actividad en materia de seguridad de la información y establecer la responsabilidad de dicho cumplimiento sobre todos sus miembros. En este sentido, se velará por el cumplimiento de toda legislación, normativa o regulación aplicable.
​
13. Formación y concienciación:
Se realizarán programas periódicos de formación y concienciación para todos los empleados y colaboradores sobre la importancia de la seguridad de la información.
​
14. Sanciones:
Cualquier violación de la presente Política de Seguridad de la Información puede resultar en la toma de las acciones disciplinarias correspondientes de acuerdo con el proceso interno de de Any Two Cloud Limitada. Es responsabilidad de todos los empleados de Any Two Cloud Limitada notificar al responsable de Seguridad de la Información de la sociedad afectada cualquier evento o situación que pudiera suponer el incumplimiento de alguna de las directrices definidas por la presente Política.
​
15. Revisión de la política:
La aprobación de esta Política implica que su implantación contará con el apoyo de la Dirección para lograr todos los objetivos establecidos en la misma, como también para cumplir con todos sus requisitos.
La presente Política de Seguridad de la Información, será revisada y aprobada anualmente. No obstante, si tuvieran lugar cambios significativos en el entorno de amenazas y riesgos, ya sean estos de tipo operativo, legal, regulatorio o contractual, se procederá a su revisión siempre que se considere necesario, asegurando así que la Política permanece adaptada en todo momento a la realidad de Any Two Cloud Limitada.