Terms & Conditions

Last updated: March 25, 2023

Para Clientes
Para Hackers
Política de seguridad de la información

Objetivo, alcance y usuarios

El propósito de esta Política de alto nivel es definir el objetivo, dirección, principios y reglas básicas para la gestión de la seguridad de la información.

Esta Política se aplica a todo el Sistema de Gestión de Seguridad de la Información (SGSI), según se define en el Documento sobre el alcance del SGSI.

Los usuarios de este documento son todos los empleados de ZEROD, como también terceros externos a la organización.

Terminología básica sobre seguridad de la información

Confidencialidad: característica de la información por la cual solo está disponible para personas o sistemas autorizados.

Integridad: característica de la información por la cual solo es modificada por personas o sistemas autorizados y de una forma permitida.

Disponibilidad: característica de la información por la cual solo pueden acceder las personas autorizadas cuando sea necesario.

Seguridad de la información: es la preservación de la confidencialidad, integridad y disponibilidad de la información.

Sistema de gestión de seguridad de la información: parte de los procesos generales de gestión que se encarga de planificar, implementar, mantener, revisar y mejorar la seguridad de la información.


Gestión de la seguridad de la información

1.1. Objectives and measuring

Los objetivos generales para el sistema de gestión de seguridad de la información son los siguientes: crear una mejor imagen de mercado y reducir el daño ocasionado por posibles incidentes; las metas están en línea con los objetivos comerciales, con la estrategia y los planes de negocio de la organización. El Responsable de Seguridad junto con el Responsable del SGSI es el responsable de revisar estos objetivos generales del SGSI y de establecer nuevos.

Los objetivos definidos así como las métricas que se utilizarán para medir la evolución de la obtención de los objetivos, se puede ver en el registro de Objetivos.

Todos los objetivos deben ser revisados al menos una vez al año.

ZEROD medirá el cumplimiento de todos los objetivos. El Comité de Seguridad es el responsable de definir el método para medir el cumplimiento de los objetivos; la medición se realizará al menos al menos una vez al semestre y en reunión del Comité se analizará y evaluará los resultados y los reportará a [alta dirección] como material para la revisión por la dirección.

Esta Política, y todo el SGSI, deben cumplir los requisitos legales y normativos importantes para la organización en el ámbito de la seguridad de la información, así como también con las obligaciones contractuales.

En la Lista de requisitos legales, normativos, contractuales y de otra índole se detalla una lista de requisitos contractuales y legales.

1.2. Information security controls

El proceso de escoger los controles (protección) está definido en la Metodología de evaluación y tratamiento de riesgos.

Los controles seleccionados y su estado de implementación se detallan en la Declaración de aplicabilidad.


1.3. Responsabilidades

Las responsabilidades para el SGSI son las siguientes:

  • El Responsable del SGSI es el responsable de garantizar que el SGSI sea implementado y mantenido de acuerdo con esta Política y de garantizar que todos los recursos necesarios estén disponibles.
  • El Responsable del SGSI es el responsable de la coordinación operativa del SGSI, como también de informar su desempeño.
  • La [alta dirección] debe revisar el SGSI al menos una vez por año o cada vez que se produzca una modificación significativa; y debe elaborar actas de dichas reuniones. El objetivo de las verificaciones por parte de la dirección es establecer la conveniencia, adecuación y eficacia del SGSI.
  • El Responsable de la Información implementará programas de formación y sensibilización de los empleados sobre la seguridad de la información.
  • La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del propietario de cada activo.
  • Todos los incidentes o debilidades de seguridad deben ser informados al [cargo].
  • El Comité de Seguridad definirá qué información relacionada con la seguridad de la información será comunicada a qué parte interesada (tanto interna como externa), por quién y cuándo.
  • El Responsable del SGSI es el responsable de adoptar e implementar el Plan de formación y sensibilización, que corresponde a todas las personas que cumplen un rol en la gestión de la seguridad de la información.

1.4. Political Communication

El Responsable del SGSI se asegura de que todos los empleados de ZEROD, como también los participantes externos correspondientes, estén familiarizados con esta Política y será responsabilidad suya el publicar o comunicar cualquier cambio de dicha Política.

Support for the SGSI

A través del presente, la dirección declara que en la implementación y mejora continua del SGSI se contará con el apoyo de los recursos adecuados para lograr todos los objetivos establecidos en esta Política, como también para cumplir con todos los requisitos identificados.

LA dirección para hacer una revisión del SGSI hará una revisión de:

  • Revisar periódicamente los indicadores clave de desempeño (KPI) y las métricas de seguridad.
  • Analizar los incidentes de seguridad, tendencias y vulnerabilidades detectadas.
  • Evalua la eficacia de los controles aplicados.
  • Evalua el estado de cumplimiento de la norma ISO 27001.
  • Analizar auditorías internas y externas.
  • Evalua los resultados de las pruebas de continuidad del negocio y la respuesta ante incidentes.
  • Revisar el contexto de la organización y los riesgos de seguridad actualizados.

Para ello, el responsable de Seguridad Trimestralmente les pasará un informe de seguimiento que puede llevar consigo después de una sesión del Comité


Validez y gestión de documentos

El propietario de este documento es el Responsable del SGSI que debe verificar, y si es necesario actualizar, el documento por lo menos una vez al año.