Política de Seguridad de la Información y Ciberseguridad

1. Objetivo

Establecer las políticas, prácticas y lineamientos internos de Seguridad de la Información para UBITS LEARNING SOLUTIONS (en adelante “UBITS”) con el fin de asegurar la protección de los activos de información en todas sus formas y medios contra su modificación accidental o deliberada, utilización no autorizada, divulgación o interrupción, de modo de garantizar su confidencialidad, integridad y disponibilidad.

UBITS establece que ante cualquier presentación legal que se requiera y esté relacionado con los sistemas informáticos o los usuarios internos, se observarán las leyes vigentes mediante el asesoramiento legal respectivo, para asegurar los requisitos regulatorios que apliquen.

2. Alcance

Este documento es de aplicación en todas las fases del ciclo de vida de la información (generación, distribución, almacenamiento, procesamiento, transporte, consulta y destrucción) y de los sistemas que la procesan (análisis, diseño, desarrollo, implementación, uso y mantenimiento).

Aplica a todos los sectores de UBITS, es decir, a todo el personal, tanto interno como externo; así como a las personas que directa o indirectamente prestan sus servicios profesionales dentro de la misma, y a toda la información obtenida, creada, procesada, almacenada o intercambiada dentro y desde la organización.

3. Vigencia

Su vigencia será a partir de la aprobación del comité.

4. Responsabilidades

• CEO (Chief Executive Officer): Responsabilidad general de la seguridad de la información de toda la organización.
• CFO (Chief Financial Officer): Responsabilidad sobre la información financiera de la compañía.
• GC (General Counsel): Oficial de protección de datos que asesora en leyes de protección de datos y mejores prácticas.
• HR (Senior HR Manager): Responsable de la gestión e información de los colaboradores.
• PAL (Procurement And Lead): Responsable de operaciones administrativas y de relación con proveedores.

5. Revisión y publicación documental

Todos los documentos que se encuentran dentro del alcance del SGSI se revisarán de manera anual o después de cualquier cambio significativo en el alcance, para asegurar su conveniencia, suficiencia y eficacia continua. Estos documentos deberán ser publicados y comunicados según el documento “Plan de Comunicación del SGSI - UBITS”.

6. Descripción

6.1. Política general de seguridad de la información

La Seguridad de la Información en UBITS es parte fundamental del negocio para entregar confianza a clientes y usuarios sobre las tecnologías de la información que operamos. La data, con base en nuestra clasificación de la información, es gestionada con los más altos estándares según las mejores prácticas disponibles en el mercado, lo cual es una base para nuestro crecimiento y sustentabilidad organizacional.

UBITS promueve una cultura de mejora continua, patrocinando recursos y herramientas necesarias para el trabajo de los colaboradores. La alta gerencia atiende la importancia de mantenerse en cumplimiento con ISO 27001, requisitos legales, contractuales y gubernamentales.

Como parte de la mejora continua, UBITS ha realizado la transición del SGSI de la norma ISO/IEC 27001:2013 a ISO/IEC 27001:2022, reforzando controles de seguridad y ciberseguridad frente a los cambios del entorno.

6.2. Gestión de protección de datos personales

Tiene como objetivo cumplir con las normativas del SGSI para garantizar privacidad y protección a la información de identificación personal.

• La seguridad aplica de manera general y consistente a toda la información de la organización.
• Se asegura la integridad, confidencialidad y disponibilidad de los datos personales.
• Incluye también los datos sensibles tratados por UBITS y sus partes interesadas.

6.3. Gestión y clasificación de activos de información

Objetivo: garantizar que los activos (información y recursos de soporte) sean identificados, inventariados y clasificados según los requerimientos del negocio.

Lineamientos

• Mantener el Inventario de activos de Información - UBITS.
• Designar propietarios de activos de información.
• Clasificar la información según confidencialidad, integridad y disponibilidad.
• Definir niveles mínimos para el manejo de la información en su ciclo de vida.
• Limitar el acceso solo a quienes lo requieran para su función.

Categorías de información

• Confidencial o Sensible: contratos, datos personales, contraseñas, etc.
• Organizacional: documentos internos (políticas, reportes, metodologías).
• Pública: avisos de privacidad, catálogos de servicios.

6.3.1. Etiquetado de activos de información

El etiquetado facilita la identificación de la información según su clasificación y acceso.

6.3.2. Intercambio de información con partes externas

Se implementan políticas, procedimientos y controles formales para proteger el intercambio de información, en coherencia con la clasificación.

6.3.3. Saneamiento y destrucción de activos de información

Se establecen procesos de saneamiento y destrucción, consultables en el Inventario de activos de información - UBITS.

6.4. Gestión de riesgos de seguridad

Objetivo: identificar y medir posibles eventos de pérdida futuros y establecer planes de tratamiento de riesgos.

• Identificar y medir amenazas y vulnerabilidades que afectan la confidencialidad, integridad y disponibilidad de la información.
• Definir alcance del proceso de gestión de riesgos.
• Establecer umbrales de tolerancia y aceptación de riesgos.
• Aprobar el nivel de riesgo residual.
• Evaluar riesgos al menos una vez al año o ante cambios significativos.

6.5. Gestión de accesos y perfiles

Objetivo: establecer lineamientos para el control de usuarios y perfiles.

• Operar bajo el criterio de “necesidad de compartir”.
• Restricción de privilegios de administrador.
• Alta, modificación y baja de credenciales controladas.
• Eliminación de accesos al cambiar de funciones o en caso de desvinculación.
• Segregación de funciones.
• Monitoreo de privilegios especiales.
• Revisión periódica de accesos.

6.6. Gestión de seguridad de entornos, plataformas y aplicaciones

• Definir, implementar y controlar seguridad en entornos y plataformas de negocio.
• Uso de sistemas de protección: anti-malware, firewall, WAF, IDS/IPS, CSPM, entre otros.
• Cambios deben ser comunicados al VP de Ingeniería.

6.6.1. Gestión de la seguridad de redes

• Redes deben gestionarse y controlarse adecuadamente.
• Restringir conexiones entre redes no confiables.
• Prohibir acceso público directo entre Internet y sistemas críticos.
• Procedimientos documentados para administración de equipos de red.

6.6.2. Gestión de la seguridad de los servicios de aplicaciones

• Controles para transacciones seguras.
• Uso de certificados, firma electrónica, autenticación de usuarios, cifrado de protocolos.

6.6.3. Gestión de la seguridad de los servicios de la nube

• Medidas de seguridad en adquisición y mantenimiento de servicios cloud.
• Gestión de identidades y accesos.
• Control de tráfico malicioso en la nube.

6.7. Gestión de vulnerabilidades

• Realizar Ethical Hacking anualmente.
• Escaneos de vulnerabilidades y pruebas de intrusión periódicas.
• Plazos de reacción máximos de 60 días (o inmediatos si el riesgo es crítico).
• Definir remediaciones según análisis de aplicabilidad.

6.8. Gestión de eventos de seguridad

• Todo el personal debe reportar incidentes al IT Support Specialist.
• Registrar, analizar y mitigar eventos de seguridad.
• Análisis forense de evidencias en caso de incidentes.
• Considerar eventos en futuros planes de capacitación.

6.9. Gestión del ciclo de vida, puesta en producción y entornos

• Establecer procesos formales para cambios en producción.
• Documentar instalaciones, releases, fechas y status.
• Contemplar rollback para problemas en producción.
• Ambientes segregados en desarrollo, testing y producción.
• No usar datos productivos en pruebas.

6.10. Gestión de capital humano

Objetivo: atraer, seleccionar y mantener talento con competencias y ética alineadas a las políticas de seguridad.

• Procesos objetivos e imparciales en selección.
• Cumplimiento de legislación laboral vigente.
• Confidencialidad de datos de candidatos.
• Verificación de antecedentes y datos.
• Capacitación anual en seguridad de la información.
• Inducción en protección de datos, ISO 27000 y políticas de seguridad.

6.10.1. Sanciones

• Leve: error que no compromete recursos o información crítica.
• Grave: compromete recursos o genera pérdida de información por acciones deliberadas.

6.10.2. Teletrabajo

6.10.2.1. Consistencia con la clasificación de la información

La información debe manejarse de acuerdo con la política de seguridad definida.

6.10.2.2. Precauciones en entorno no seguro

• Garantizar privacidad en el entorno.
• No dejar documentos/equipos sin protección.
• Evitar uso de wi-fi público sin medidas de seguridad.
• Evitar transmitir datos sensibles en redes inseguras.

6.10.2.3. En relación a los equipos

• Equipos deben estar protegidos (acceso biométrico o similar).
• Habilitar rastreo y borrado remoto.
• Reportar pérdida de equipos.

6.10.2.4. Acceso remoto

• Uso de métodos seguros (VPN, no descarga de datos sensibles).
• Resguardar claves en medios autorizados.

6.10.2.5. Transferencia, sincronización y uso compartido de archivos

• Herramientas de transferencia deben cumplir con clasificación de la información.
• No usar sincronización en la nube en equipos no autorizados.

6.10.2.6. Responsabilidades especiales

• Líderes de área responsables de difundir la política.
• Cada trabajador responsable de aplicar controles.

6.11. Gestión y protección del uso de los dispositivos

• No instalar software no autorizado.
• Actualizar sistemas y aplicaciones regularmente.
• Mantener firewall y cifrado de disco.
• Guardar documentos en espacios oficiales.
• No compartir credenciales.
• Bloquear equipo al ausentarse.
• Cambiar contraseñas ante sospecha de compromiso.

6.12. Gestión de claves y criptografía

• Contraseñas personales e intransferibles.
• Deben incluir mayúsculas, minúsculas, números y símbolos.
• Uso de gestores de contraseñas y 2FA.
• Cambiar contraseñas regularmente.
• Aplicar criptografía en almacenamiento y transferencia de datos sensibles.

Métodos criptográficos implementados

• Firma de documentos digitales → Firma electrónica (DocuSign).
• Almacenamiento en la nube → Cifrado simétrico (AES).
• Accesos remotos → VPN (AWS VPN Endpoint).
• Correos confidenciales → Cifrado asimétrico (Google/Sophos).

6.13. Gestión de respaldo, recuperación y continuidad

• Realizar pruebas periódicas de recuperación.
• Análisis de riesgos ante desastres.
• Plan de continuidad de negocio documentado y probado anualmente.
• Procedimientos de comunicación de crisis.

6.14. Gestión de relaciones con proveedores

• Mantener lista de proveedores con descripción de servicios.
• Procedimiento formal de contratación.
• Contratos con cláusulas de protección de datos.
• Requerimientos mínimos de seguridad.
• Acuerdos de confidencialidad.
• Procedimientos de incidentes con proveedores.

6.15. Gestión de cumplimiento

• Verificar que acuerdos con clientes y proveedores cumplan regulaciones.
• Puntos de control con terceros.
• Revisiones de cumplimiento anuales.
• Evaluaciones periódicas de controles.

6.16. Gestión con instituciones que intervienen en la seguridad de la información

• Mantener contacto con autoridades certificadoras, auditores y entes gubernamentales.
• Atender requerimientos normativos como prioridad.
• Mantener contacto con expertos y grupos especializados.
• Incluir controles sobre el uso responsable de Inteligencia Artificial.

6.17. Gestión de la seguridad física

• Establecer medidas de control para proteger activos de información.
• Áreas clave: ubicación y protección de equipos, monitoreo de servicios de apoyo, mantenimiento de equipos.

‍

‍