Política General de Seguridad de la Información

Alcance

Movatec SpA, en su compromiso con la protección de los activos de información y la continuidad de sus operaciones, establece la presente Política General de Seguridad de la Información como parte fundamental de su Sistema de Gestión de Seguridad de la Información (SGSI).

Esta política es aplicable a todos los activos de información asociados a los servicios de soporte y gestión de la plataforma SaaS HaddaCloud, desarrollada y proporcionada por Movatec.

• Áreas y departamentos internos
• Colaboradores y terceros con acceso autorizado
• Instalaciones físicas y procesos internos
• Sistemas informáticos y plataformas tecnológicas
• Infraestructura de red y comunicaciones
• Bases de datos, archivos digitales y documentos físicos
• Información almacenada, procesada o transmitida en cualquiera de los entornos operativos

Esta política es extensible a todos los terceros que mantengan contratos con Movatec SpA, regulando procesos que involucren tratamiento de información.

Objetivo

Establecer los lineamientos institucionales en relación con la responsabilidad, protección y gestión de los riesgos asociados a la información. Asegurar que la información crítica sea gestionada conforme a los principios de confidencialidad, integridad y disponibilidad.

Roles y Responsabilidades

Oficial de Seguridad de la Información (CISO)

Responsable del cumplimiento de la norma ISO/IEC 27001, reporte de desempeño del SGSI a la alta dirección, comunicación interna de la política y promoción de la cultura de seguridad.

CEO General Manager

Establece la política, asigna recursos, aprueba formalmente su implementación y supervisa el cumplimiento.

CEO General IT

Responsable de alinear la estrategia tecnológica con la política, aplicar controles de seguridad y capacitar al personal técnico.

Personal de la organización

Debe cumplir con esta política, reportar incidentes, usar correctamente los activos y contribuir a una cultura de seguridad.

Política General de Seguridad

• Seguimiento eficaz al desarrollo de software
• Controles de seguridad en software
• Atención a clientes según SLA
• Formación y concientización
• Asignación de recursos financieros adecuados
• Mejora continua del SGSI

Seguridad de la Información en la Institución

El marco de seguridad se basa en la norma ISO/IEC 27001:2022, ISO/IEC 22301, legislación nacional y buenas prácticas. Se establecen objetivos como garantizar la CID, gestión de riesgos, cumplimiento normativo, concienciación, mejora continua y continuidad operativa.

Respecto a los integrantes de Movatec

• Propietario de la información: Clasifica y define acceso.
• Administrador: Aplica medidas de seguridad.
• Usuario: Usa información con permisos definidos.

Seguridad Física y Ambiental

Se implementan controles para acceso físico, protección ante amenazas naturales, BCP y DRP como mecanismos de respaldo.

Seguridad de Comunicaciones

Se definen responsabilidades, segregación de funciones y control de acceso a redes y datos, evitando accesos no autorizados.

Acceso a la Información

Cuentas gestionadas, autenticación, políticas de permisos y control de acceso a aplicaciones y datos.

Desarrollo y Mantenimiento de Sistemas

Procesos formales, pruebas de vulnerabilidad, separación de entornos, control de versiones y cambios.

Gestión de Incidentes de Seguridad

1. Recepción y Validación: Clasificación e impacto inicial.
2. Coordinación: Alerta organizacional y contención.
3. Análisis y Respuesta: Identificación de causas y solución.

Gestión de Continuidad de Negocio

Se implementan planes de contingencia, recuperación (DRP), análisis de impacto (BIA) y estrategias para asegurar el servicio SaaS HaddaCloud.

Gestión de Cumplimiento Normativo

Cumplimiento de leyes sobre protección de datos, delitos informáticos, Ley de Cobranzas, política nacional de ciberseguridad y más. Se usa una matriz de cumplimiento que se actualiza periódicamente.

Metodología de Gestión de Riesgos

1. Identificación de riesgos
2. Evaluación y priorización
3. Definición de controles
4. Monitoreo y revisión

Incumplimientos

Cualquier incumplimiento se considera falta grave y puede llevar a sanciones o término de contrato según los acuerdos.

Revisión

Esta política será revisada anualmente o cuando se produzcan cambios significativos en el entorno legal, tecnológico u operativo.