Política de Seguridad de la Información
Esta política tiene como objetivo proteger la confidencialidad, integridad y disponibilidad de la información en Exis Consulting, alineándose con los estándares de la norma ISO 27001. Es aplicable a todos los integrantes, consultores, contratistas y terceros con acceso a los sistemas y datos de la empresa.
Alcance
La política cubre todos los sistemas de información, infraestructura tecnológica, aplicaciones SaaS, redes y dispositivos utilizados en las operaciones de Exis Consulting. Esto incluye Microsoft 365, Windows 11 Pro, servicios de almacenamiento en la nube (OneDrive, SharePoint), y otros sistemas SaaS con autenticación SSO o MFA.
Directrices Generales
Confidencialidad
-
El acceso a la información estará limitado según el principio de "necesidad de saber", garantizando que solo el personal autorizado acceda a la información relevante para su rol.
-
Se deben seguir prácticas adecuadas de gestión de contraseñas y autenticación multifactor (MFA) para proteger la información confidencial.
Integridad
-
La integridad de la información será garantizada mediante controles que prevengan modificaciones no autorizadas.
-
Cualquier cambio en la información deberá ser registrado y auditado adecuadamente.
Disponibilidad
-
La disponibilidad de la información se asegurará mediante mecanismos de respaldo en OneDrive y SharePoint.
-
Los sistemas deberán estar disponibles para su acceso y uso conforme a las necesidades operativas.
Seguridad de los Sistemas Operativos
-
Todos los equipos de la empresa deben ejecutar Windows 11 Pro con Microsoft Defender, Firewall y autenticación multifactor (MFA) habilitados.
-
Se debe configurar la seguridad de Windows para garantizar un inicio de sesión seguro.
-
Se recomienda activar BitLocker en todos los dispositivos para proteger la información en caso de pérdida o robo.
Almacenamiento y Respaldo de Información
-
Toda la información crítica debe ser almacenada en las cuentas corporativas de OneDrive para garantizar un respaldo seguro.
-
SharePoint se utilizará como la plataforma principal para el almacenamiento de información relevante de las diferentes áreas.
-
Es responsabilidad de cada integrante asegurar que los datos se almacenen correctamente en los sistemas designados.
Seguridad de los Servicios en la Nube (SaaS)
-
Los servicios SaaS utilizados deberán cumplir con las políticas de seguridad establecidas, incluyendo el uso de autenticación SSO o MFA según corresponda.
-
Los sistemas que no soporten SSO deberán configurarse con las medidas de seguridad necesarias para proteger los datos.
Control de Accesos
-
El acceso a los sistemas será gestionado a través de las configuraciones de seguridad de Microsoft 365.
-
Los usuarios deben utilizar credenciales corporativas y MFA para acceder a los sistemas de la empresa.
-
Los accesos serán revisados periódicamente para asegurar que solo las personas autorizadas mantengan permisos vigentes.
Gestión de Contraseñas
-
Para garantizar la seguridad de la información, está estrictamente prohibido almacenar contraseñas en archivos de texto sin protección, como Excel, Word o Bloc de notas. Todas las contraseñas deben ser almacenadas de manera segura utilizando una aplicación de gestión de contraseñas.
Monitoreo y Auditoría
-
Se implementarán mecanismos de monitoreo y auditoría para detectar y responder a cualquier actividad no autorizada en los sistemas de información.
-
Los registros de auditoría serán revisados regularmente para identificar posibles amenazas o brechas de seguridad.
Concienciación y Capacitación
-
Todos los integrantes recibirán capacitación periódica sobre las mejores prácticas de seguridad de la información.
-
La capacitación incluirá temas como la gestión segura de contraseñas, reconocimiento de amenazas y respuesta ante incidentes.
Cumplimiento y Sanciones
-
El incumplimiento de esta política podrá resultar en acciones disciplinarias, incluyendo la terminación del contrato laboral o de colaboración.
-
Exis Consulting se reserva el derecho de realizar auditorías para asegurar el cumplimiento de esta política.
Revisión y Actualización
Esta política será revisada y actualizada anualmente o cuando ocurran cambios significativos en los sistemas, infraestructura o normativas de seguridad.