L5-101- Política de seguridad de la información de Sábat Informática

1.       OBJETIVO 

Establecer el compromiso de SÁBAT, Software y Servicios Informáticos con la protección de sus activos de información, asegurando su confidencialidad, integridad y disponibilidad mediante un enfoque basado en riesgos, cumpliendo con los requisitos de la norma ISO/IEC 27001:2022, y promoviendo la mejora continua del Sistema de Gestión de Seguridad de la Información (SGSI). Esta política busca también crear una cultura organizacional centrada en la seguridad, que fortalezca la confianza de los clientes y partes interesadas en el manejo adecuado de la información. 

2.       ALCANCE 

Esta política aplica a todos los empleados, contratistas, proveedores y terceros que accedan o gestionen información de SÁBAT, incluyendo datos, sistemas, infraestructura (on-premise o en la nube), software y servicios relacionados. Abarca también a cualquier dispositivo o medio que contenga o procese información relevante para la organización, sin importar su ubicación o propiedad. 

3.       DOCUMENTOS DE REFERENCIA 

Normas Internacionales 

  1. ISO/IEC 27001:2022 – Sistemas de Gestión de Seguridad de la Información – Requisitos. 
  2. ISO/IEC 27002:2022 – Código de buenas prácticas para controles de seguridad de la información. 
  3. ISO/IEC 27005 – Gestión de riesgos de seguridad de la información. 
  4. ISO 31000 – Gestión del riesgo – Principios y directrices. 
  5. ISO 22301 – Gestión de la continuidad del negocio. 

Normativa Nacional Uruguaya 

  1. Ley N.º 18.331 – Protección de Datos Personales y Acción de Habeas Data. 
  2. Ley N.º 18.381 – Derecho de Acceso a la Información Pública. 
  3. Decreto 451/009 – Funcionamiento del Centro Nacional de Respuesta a Incidentes de Seguridad Informática. 
  4. Decreto 452/009 – Política de Seguridad de la Información en la Administración Pública. 
  5. Decreto 178/013 – Intercambio de información entre organismos del Estado. 

Referencias Institucionales o Marcos Locales 

  1. Marco de Ciberseguridad de AGESIC. 
  2. Directrices de buenas prácticas TIC del Estado Uruguayo (AGESIC, si aplica). 

Documentación Interna Complementaria  

  1. Manual del SGSI de SÁBAT. 
  2. Matriz de Análisis de Riesgos y Plan de Tratamiento. 
  3. Inventario de Activos de Información. 
  4. Política de Gestión de Incidentes. 
  5. Política de Continuidad del Negocio. 
  6. Procedimientos de Backup y Recuperación. 
  7. Programa de Concienciación y Capacitación en Seguridad. 
  8. Registros de Auditorías Internas de Seguridad. 

4.       TERMINOLOGÍA 

  1. SGSI (Sistema de Gestión de la Seguridad de la Información): Estructura y procesos para gestionar la seguridad de la información. 
  2. Seguridad de la información: Protección de la información frente a riesgos. 
  3. Riesgo: Incertidumbre sobre los impactos en la seguridad de la información. 
  4. Controles: Medidas para mitigar los riesgos de seguridad. 
  5. Auditoría interna: Evaluación sistemática de la eficacia del SGSI. 
  6. No conformidad: Desviaciones de los requisitos del SGSI. 
  7. Incidente de seguridad: Evento que afecta la seguridad de la información. 
  8. Acción correctiva: Medidas para corregir fallos detectados. 
  9. Mejora continua: Proceso de optimización del SGSI. 
  10. Activos de Información: Recursos de información que tienen valor para Sábat Software y Servicios Informáticos, incluyendo datos, sistemas, hardware, software y documentación. 
  11. Confidencialidad: Garantizar que la información solo sea accesible para personas autorizadas, minimizando el riesgo y vulnerabilidades. 
  12. Integridad: Asegurar que la información sea exacta y completa, y que no sea modificada de manera no autorizada. 
  13. Disponibilidad: Garantizar que la información y los sistemas estén accesibles cuando se requieran. 
  1. Riesgo: Posibilidad de que una amenaza explote una vulnerabilidad, causando un impacto negativo en los activos de información. 

5.       MANEJO DE SEGURIDAD DE LA INFORMACIÓN 

  1. Contexto y Partes Interesadas 

SÁBAT es una PYME uruguaya dedicada a soporte de infraestructura TI y desarrollo de software. Opera desde Montevideo y no posee requisitos regulatorios específicos en seguridad.  Las partes interesadas incluyen clientes, empleados, proveedores tecnológicos, socios comerciales, y entidades colaboradoras. Se considera esencial identificar sus necesidades y expectativas en relación con la seguridad de la información para garantizar que los controles implementados respondan adecuadamente a dichos intereses. 

  1. Compromiso de la Alta Dirección 

La alta dirección: 

a.    Aprobará y respaldará esta política firmemente como parte de su compromiso con la gobernanza corporativa. 

b.   Asignará recursos humanos, financieros y tecnológicos para la implementación y mejora del SGSI. 

c.    Liderará el cumplimiento de los objetivos de seguridad y la evaluación continua del desempeño del SGSI. 

d.   Promoverá una cultura organizacional que priorice la seguridad como un valor estratégico. 

3.          Objetivos de Seguridad de la Información 

a.    Prevenir accesos no autorizados a la información y evitar fugas de datos. 

b.    Garantizar la integridad de los datos gestionados, evitando manipulaciones no autorizadas. 

c.    Asegurar la disponibilidad de los servicios críticos en todo momento. 

d.    Cumplir con requisitos legales, contractuales y de clientes que involucren protección de información. 

e.    Fomentar una cultura de seguridad, donde cada colaborador entienda su rol en la protección de la información. 

f.      Evaluar y mejorar de manera continua los procesos vinculados a la seguridad. 

Indicadores asociados (KPIs), metas cuantificables y responsables serán definidos anualmente por el responsable del SGSI y validados por la alta dirección. 

4.          Cumplimiento Legal y Contractual 

SÁBAT se compromete al cumplimiento de la normativa legal aplicable en Uruguay (Ley 18331, Ley 18381, Decretos 451/009, 452/009 y 178/013), y de los compromisos contractuales con sus clientes y aliados. Asimismo, revisará periódicamente su marco legal aplicable para mantener la conformidad y anticiparse a posibles cambios regulatorios. Esta revisión se incluirá dentro del programa anual de cumplimiento y auditoría interna. 

5.          Gestión de Riesgos 

Se realizará un análisis de riesgos anual para identificar amenazas, vulnerabilidades y riesgos que puedan afectar a la información de la organización, con el fin de aplicar controles adecuados alineados al Anexo A de la ISO/IEC 27001:2022. Se mantendrá una matriz de riesgos actualizada y se implementará un plan de tratamiento que será revisado y ajustado según los resultados de auditorías, simulacros o cambios en el entorno. 

6.          Controles de Seguridad 

Los controles de seguridad se agrupan en: 

a.    Controles organizacionales: establecimiento de políticas, definición de roles, planes de continuidad, y cultura de seguridad. 

b.    Controles humanos: capacitación, selección segura, desvinculación controlada, y sensibilización constante. 

c.    Controles físicos y de acceso: medidas para prevenir accesos no autorizados a instalaciones y sistemas. 

d.    Controles técnicos: uso de cifrado, segmentación de redes, firewall, antivirus, actualizaciones de software. 

e.    Controles operativos: monitoreo de eventos, gestión de incidentes, copias de seguridad, revisiones periódicas. 

La selección de controles se documentará y justificará con base en los riesgos identificados y su nivel de aceptación. Se realizará una evaluación continua para asegurar su eficacia. 

7.          Continuidad del Negocio 

SÁBAT mantendrá un Plan de Continuidad del Negocio (PCN), que identificará procesos críticos, dependencias tecnológicas, responsables, plazos de recuperación (RTO), y prioridades de restauración.  

El plan contemplará distintos escenarios de interrupción, incluyendo desastres naturales, fallas tecnológicas, errores humanos y amenazas cibernéticas. Se realizará al menos un simulacro anual y revisiones cada 12 meses o tras eventos críticos. La eficacia del plan se evaluará mediante informes post-simulacro. 

8.          Segregación de tareas 

Cuando sea aplicable, las funciones críticas del sistema deben ser separadas para evitar que un solo actor tenga el control completo sobre un proceso, reduciendo el riesgo de abuso de privilegios, fraude o conflicto de interés 

9.          Mejora Continua 

Esta política establece el compromiso permanente con la mejora continua del SGSI. Se realizarán auditorías internas al menos una vez al año, revisiones por la dirección, encuestas de percepción a los usuarios internos y planes de acción para cada hallazgo detectado. El ciclo de mejora se basa en el enfoque PDCA (Planificar, Hacer, Verificar, Actuar). 

10.    Comunicación y Difusión de la Política 

La política será publicada en los medios internos de SÁBAT (intranet, correo institucional, tableros informativos) y comunicada a empleados, socios y terceros pertinentes. Se incluirá en los programas de inducción y formación continua, con módulos específicos por tipo de rol. Se asegurará su lectura, comprensión y aceptación mediante registro documental, incluyendo evaluaciones de conocimientos. Los cambios a la política se comunicarán mediante circulares internas y reuniones informativas.