1. SEGURIDAD DE LA INFORMACIÓN

1.1. ANTECEDENTES

La evolución de la tecnología y las amenazas cibernéticas ha llevado a la creación y formalización de políticas de seguridad para proteger la confidencialidad, integridad y disponibilidad de la información en las organizaciones.

1.2. OBJETIVOS

OpenAtlas S.A.S., para asegurar la dirección estratégica de la compañía, establece la compatibilidad de la política de seguridad de la información y los objetivos de seguridad de la información, estos últimos corresponden a:
▪ Minimizar el riesgo de los procesos misionales de la compañía.
▪ Cumplir con los principios de seguridad de la información.
▪ Mantener la confianza de los funcionarios, contratistas y clientes.
▪ Apoyar la innovación tecnológica.
▪ Implementar el sistema de gestión de seguridad de la información.
▪ Proteger los activos de información.
▪ Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
▪ Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y clientes de OpenAtlas S.A.S.
▪ Garantizar la continuidad del negocio frente a incidentes de seguridad.

1.3. ALCANCE

La política abarca todos los activos de información de OpenAtlas S.A.S., incluyendo datos, sistemas, redes, dispositivos y cualquier otro recurso que maneje información sensible. Se aplica a todos los empleados, contratistas, proveedores y cualquier otra parte interesada que tenga acceso a la información de la organización.

1.4. RESPONSABLES

En la política de seguridad de la información, los responsables suelen estar claramente definidos para asegurar una gestión efectiva.
● El liderazgo, apoyo, promoción y asignación de recursos está a cargo de la Alta Dirección
● El seguimiento al cumplimiento, implementación y mantenimiento de esta política está a cargo del Líder de Seguridad de la Información
● El cumplimiento de esta política está a cargo de todo el personal; empleados y contratistas.

1.5. LISTA DE VERIFICACIÓN

A continuación, se incluyen una serie de controles para revisar el cumplimiento de la política de seguridad en lo relativo a la respuesta a incidentes de ciberseguridad.

Los controles se clasifican en dos niveles de complejidad:

● Básico (B): el esfuerzo y los recursos necesarios para implantarlo son asumibles. Se puede aplicar a través del uso de funcionalidades sencillas ya incorporadas en las aplicaciones más comunes. Se previenen ataques mediante la instalación de herramientas de seguridad elementales.
● Avanzado (A): el esfuerzo y los recursos necesarios para implantarlo son considerables. Se necesitan programas que requieren configuraciones complejas. Se pueden precisar mecanismos de recuperación ante fallos.

Los controles podrán tener el siguiente alcance:
● Procesos (PRO): aplica a la dirección o al personal de gestión.
● Tecnología (TEC): aplica al personal técnico especializado.
● Personas (PER): aplica a todo el personal.

1.6. PUNTOS CLAVE

Los puntos clave de esta política son:

1.6.1. Compromiso de la Dirección.
● La alta dirección debe demostrar su compromiso con la seguridad de la información, asegurando que se asignen los recursos necesarios y que se cumplan los objetivos de seguridad.
● Se deben generar las evidencias de la asignación de recursos, mediante un presupuesto y un plan director del SGSI.

1.6.2. Gestión de Activos.
● Identificación y clasificación de los activos de información, asegurando su protección adecuada.
● Se deberá construir un inventario detallado de los activos de información de la compañía, donde sea claro el propietario y dueño del riesgo de cada uno de ellos.

1.6.3. Control de Acceso.
● Definición de políticas para el acceso a la información, asegurando que solo las personas autorizadas puedan acceder a los datos sensibles.
● Cada dueño del activo deberá aprobar y otorgar el tipo de privilegio de acceso a cada persona con su debida evidencia.

1.6.4. Protección de Información.
● Implementación de medidas para proteger la información por los riesgos originados por las personas.
● Se debe generar conciencia de seguridad en todas las partes interesadas, las personas son un punto crítico de la seguridad.

1.6.5. Gestión de Incidentes de Seguridad.

● Establecimiento de procedimientos para la identificación, reporte y manejo de incidentes de seguridad.

1.6.6. Cumplimiento Legal y Contractual.
● Aseguramiento de las condiciones para que la organización cumpla con todas las leyes, regulaciones y requisitos contractuales aplicables.

1.6.7. Seguridad Física y Recursos Tecnológicos.
● Proteger las instalaciones de procesamiento, la infraestructura tecnológica y redes de datos que soportan los procesos críticos.

1.6.8. Garantizará la Disponibilidad.
● Garantizar disponibilidad de los procesos de negocio y la continuidad de la operación, con base en el impacto que pueden generar los eventos de seguridad.

1.6.9. Formación y Concientización.
● Asegurar que todos los empleados, contratistas y terceros comprendan la importancia de la seguridad de la información y estén capacitados para proteger los activos de información de la organización.

1.6.10. Contraseñas.
● Establecer, difundir y verificar el cumplimiento de buenas prácticas en el uso de contraseñas y/o acceso seguro por medio de arquitecturas basadas en cero confianza (ZTA).

1.6.11. Revisión y Creación de políticas.
● Las políticas deben ser revisadas, actualizadas y creadas a la necesidad propia de la compañía. Como mínimo cada año se debe actualizar cada política para garantizar su efectividad y adecuación a los cambios en el entorno de la organización.