Menu

POLÍTICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

  1. Introducción
    CORPORACION COMPUTER SYSTEMS SOLUTION S.A.C. depende de los sistemas de Tecnologías de Información y Comunicaciones (TIC) para alcanzar sus objetivos. La administración de estos sistemas debe ser realizada con diligencia, implementando las medidas adecuadas para resguardarlos contra posibles daños accidentales o intencionales que puedan comprometer la disponibilidad, integridad o confidencialidad de la información manejada y los servicios proporcionados.
    El propósito de la seguridad de la información es asegurar la calidad de los datos y la continuidad en la prestación de los servicios, adoptando un enfoque preventivo, supervisando las actividades diarias y actuando con prontitud y diligencia ante cualquier incidente.
    Los sistemas TIC deben estar protegidos contra amenazas en constante evolución que podrían afectar la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para contrarrestar estas amenazas, es esencial contar con una estrategia adaptable a los cambios en el entorno para garantizar la continuidad de los servicios. Esto implica que los distintos departamentos deben seguir las medidas de seguridad mínimas establecidas por la norma ISO 27001:2022, además de monitorear de manera constante los niveles de servicio, analizar las vulnerabilidades reportadas y estar preparados para responder de manera efectiva a los incidentes y garantizar la continuidad de los servicios.
    Cada departamento debe asegurarse de que la seguridad TIC sea una parte esencial en cada etapa del ciclo de vida del sistema, desde su concepción hasta su retiro, pasando por las decisiones de desarrollo o adquisición y las operaciones diarias. Los requisitos de seguridad y las necesidades financieras deben ser identificados e incorporados en la planificación, las solicitudes de propuestas y los documentos de licitación para proyectos TIC.
    Los departamentos deben estar preparados para prevenir, detectar, responder y recuperarse de incidentes de acuerdo con las regulaciones de seguridad correspondientes.


  2. Misión
    CORPORACION COMPUTER SYSTEMS SOLUTION S.A.C. (CCSS) es una empresa de Consultoría de Tecnología de la Información (TI), dedicada a brindar servicios de Desarrollo de Aplicaciones Services, Data Analytics, Transformación Digital, Automatización, Testing de Calidad e Infraestructura Cloud. Mantenemos el firme propósito de posicionarnos como el socio estratégico ideal de nuestros clientes, para enfrentar los desafíos tecnológicos, mediante soluciones disruptivas e innovadoras que garanticen el logro de los objetivos y generen valor al negocio.Definiciones:
    a. Seguridad de la Información: Conjunto de medidas, políticas, procedimientos y tecnologías diseñadas para proteger la confidencialidad, integridad y disponibilidad de la información contra amenazas internas y externas.
    b. Activo de Información: Cualquier elemento o recurso que posea valor para la organización, incluyendo datos, sistemas, hardware, software y documentos, cuya protección es esencial para el funcionamiento y los objetivos de la empresa.
    c. Vulnerabilidad: Debilidad en un sistema, proceso o activo de información que podría ser explotada por amenazas para comprometer su seguridad. Las vulnerabilidades aumentan el riesgo de sufrir incidentes de seguridad.
    d. Riesgo de Seguridad de la Información: Probabilidad de que una amenaza explote una vulnerabilidad, resultando en un impacto no deseado en los activos de información. Se mide en términos de probabilidad e impacto.
    e. Control de Acceso: Medidas y mecanismos utilizados para garantizar que solo las personas autorizadas tengan acceso a los activos de información, protegiendo así la confidencialidad, integridad y disponibilidad.
    f. Política de Seguridad de la Información: Documento que establece los principios, directrices y objetivos generales para gestionar y proteger la información de manera coherente en toda la organización.
    g. Incidente de Seguridad de la Información: Evento que pone en peligro la confidencialidad, integridad o disponibilidad de los activos de información, y que puede requerir una respuesta para mitigar sus efectos.
    h. Auditoría de Seguridad de la Información: Evaluación sistemática de los controles y procedimientos de seguridad de la información para determinar si se están aplicando efectivamente, identificar vulnerabilidades y garantizar el cumplimiento de las políticas y regulaciones.


  3. Propósito Proteger los activos de información de la empresa, asegurando para ello la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información y de las instalaciones, sistemas y recursos que la procesan, gestionan, transmiten y almacenan, siempre de acuerdo con los requerimientos del negocio y la legislación vigente. Mediante la Política de Seguridad de la Información se define los lineamientos y medidas a tener en cuenta para gestionar los riesgos de seguridad de la información sobre los activos de información, los procesos y actividades del negocio.


  4. Alcance Esta Política de Seguridad de la Información es aplicable a todos los activos de información de la empresa, así como a todos los procesos, actividades de negocio y a todas las personas que directa o indirectamente prestan algún servicio para la organización. Por lo tanto, el alcance del Sistema de Gestión de Seguridad de la Información engloba los sistemas de información qué soportan los procesos para servicios de Desarrollo de Aplicaciones Services, Data Analytics, Transformación Digital, Automatización, Testing de Calidad e Infraestructura Cloud.


  5. Objetivos de Seguridad de la Información El objetivo consiste en establecer las políticas, prácticas y lineamientos que permitan a la organización garantizar la adecuada protección de todos sus activos de información y prevenir la materialización de riesgos que puedan afectar su confidencialidad, integridad y disponibilidad. Asimismo, se proponen los siguientes objetivos específicos:
    a.Reducción de Incidentes de Seguridad en un 20% en el Primer Año: Implementar medidas de seguridad proactivas y reactivas para reducir la cantidad de incidentes de seguridad, como brechas de datos, intrusiones y malware, en un 20% durante el primer año de implementación del sistema.
    b. Cumplimiento del 100% con Normativas de Seguridad Relevantes: Garantizar el cumplimiento del 100% de las normativas y estándares de seguridad relevantes para la industria, como la norma ISO/IEC 27001, en un plazo de dos años.
    c. Mejora de la Conciencia de Seguridad en un 25% en Seis Meses: Desarrollar y ejecutar programas de formación en seguridad de la información para los empleados y usuarios, con el objetivo de aumentar su conciencia sobre las mejores prácticas de seguridad en un 25% en un plazo de seis meses.
    d. Tiempo Promedio de Recuperación de Incidentes Reducido a Menos de 4 Horas: Establecer procedimientos de respuesta a incidentes más eficientes y realizar simulacros regulares para reducir el tiempo promedio de recuperación de incidentes de seguridad a menos de 4 horas en un año.


  6. Lineamientos de Seguridad de la Información
    a. Salvaguardar la información contra amenazas internas y externas, incluyendo el acceso no autorizado, la modificación no autorizada, la pérdida y la destrucción.
    b. Asegurar la confidencialidad, integridad y disponibilidad de la información y los sistemas.
    c. Cumplir con las leyes, regulaciones y estándares relevantes en materia de seguridad de la información.
    d. Mantener la confianza de nuestros clientes, socios y partes interesadas al proteger su información personal y empresarial.
    e. Minimizar los riesgos de seguridad de la información a través de evaluaciones regulares y medidas de mitigación.


  7. Responsables
    a. El responsable de la Política es el Comité del Sistema de Gestión de Seguridad de la Información y el responsable del Sistema, quienes son los encargados de revisar y aprobar las diferentes estrategias y procesos de seguridad de la información, velando por su eficacia y efectividad.
    b. Todos los empleados y contratistas son responsables de cumplir con esta política y contribuir a la seguridad de la información en la organización. Los responsables de cada área deberán garantizar que las medidas de seguridad se implementen y sigan en su respectivo ámbito.
    c. Las funciones y responsabilidades para coordinar y ejecutar los principios de Seguridad de la Información están desarrollados en los documentos del SGSI.


  8. Compromiso de Mejora Continua La seguridad de la información es fundamental para el éxito de nuestra empresa y confianza de nuestros clientes. Por lo tanto, esta Política de Seguridad de la Información elaborada en base a la Norma ISO 27001:2022 establece nuestros principios y directrices para garantizar la confidencialidad, integridad y disponibilidad de la información que manejamos. Razón por la cual nos comprometemos a:
    a. A través de la alta dirección respaldar y promover activamente la seguridad de la información en toda la organización.
    b. Se asignarán los recursos necesarios para implementar y mantener el SGSI.
    c. Se establecerán y revisarán regularmente los objetivos de seguridad de la información para garantizar su pertinencia y eficacia.
    d. Se implementarán controles técnicos y organizativos adecuados para proteger la información y los sistemas.
    e. Se proporcionará capacitación y concienciación en seguridad de la información para todo el personal.
    f. Se realizarán evaluaciones regulares de riesgos y auditorías internas para identificar vulnerabilidades y deficiencias en el SGSI.
    g. Cumplir con los requisitos legales y otros suscritos aplicables; referente a la Seguridad de Información.
    h. Asegurar la confidencialidad, disponibilidad e integridad de la información relevante de la organización y partes interesadas pertinentes, según corresponda.
    i. Mejorar continuamente la eficacia de nuestro Sistema de Gestión de Seguridad de Información (SGSI).
    j. Promover la mejora continua del Sistema de Gestión de Seguridad de la Información como factor fundamental del desempeño de la empresa.


  9. Revisión y Mejora Esta política será revisada anualmente o cuando cambien las circunstancias relevantes. La alta dirección supervisará y autorizará los cambios necesarios para garantizar su pertinencia y eficacia. Esta política proporciona un marco de referencia para el establecimiento de objetivos del SGSI, será difundida permanentemente a todos los empleados, contratistas, proveedores y terceros relevantes de la empresa; asimismo, estará disponible para el acceso público y será revisada convenientemente para asegurar su plena vigencia.