POLÍTICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

1. OBJETIVO 

Proteger los activos de información de Simetrik frente a riesgos y amenazas, tanto internas como externas, garantizando la confidencialidad, integridad, disponibilidad y privacidad  de la información.

En Simetrik, la seguridad de la información es un pilar fundamental para la protección de nuestros activos, la confianza de nuestros clientes y el cumplimiento de normativas internacionales.

2. ALCANCE

Esta política aplica a todos los empleados, contratistas, proveedores y cualquier persona o entidad con acceso a los sistemas, información y activos de información de Simetrik.

3. PRINCIPIOS DE SEGURIDAD

Adoptamos un enfoque basado en riesgos para proteger los activos de información y la de los clientes frente a amenazas de alto impacto y probabilidad. 

Además, integramos los principios de seguridad de la información en la cultura organizacional, haciendo que la seguridad de la información sea responsabilidad compartida por la alta dirección, empleados, contratistas y terceros, asegurando así una estructura robusta de seguridad de la información.

Simetrik asume un firme compromiso con los siguientes principios fundamentales de seguridad y privacidad

• Confidencialidad: Garantizamos que únicamente las personas autorizadas tengan acceso a la información, evitando accesos no autorizados o divulgaciones indebidas.
• Integridad: Nos aseguramos de que la información esté protegida contra modificaciones no autorizadas, manteniéndola precisa, confiable y completa.
• Disponibilidad: Aseguramos que la información esté disponible cuando sea requerida, sin interrupciones que afecten nuestra operación.
• Privacidad: Protegemos los datos personales, respetando la privacidad de clientes, colaboradores y terceros, cumpliendo siempre con las leyes y regulaciones aplicables.

Lineamientos principales:

• Se debe garantizar la Confidencialidad, Integridad, Disponibilidad y Privacidad de los activos de Información mantenidos dentro de Simetrik.
• Todos los sistemas de información y activos de información utilizados en las operaciones y la prestación de servicios deben cumplir con los controles de seguridad definidos por Infosec
• Todos los empleados, contratistas y terceros deben recibir formación y sensibilización anual en seguridad de la información para contar con los conocimientos, habilidades y herramientas necesarias para contribuir a la protección de la información, o de los activos de información a los que tienen acceso.
• Se deben aplicar medidas para prevenir, detectar, responder, analizar, recuperar e investigar amenazas y vulnerabilidades de manera proactiva.
• Se deben implementar metodologías y herramientas que permitan ajustarse ágilmente a los cambios en el entorno tecnológico y a nuevas amenazas.
• La seguridad de la información debe estar integrada en todos los procesos estratégicos y operativos, garantizando que aporte valor y soporte el crecimiento de Simetrik.
• Simetrik debe asegurar el cumplimiento de todas las leyes, normativas y estándares de seguridad aplicables:
  • Regulaciones internacionales y locales de privacidad y seguridad de datos
  • Estándar de Seguridad de Datos PCI DSS
  • Mejores prácticas de seguridad de la información, incluidas ISO 27001, ISO 27701, ISO 27018.
  • Acuerdos contractuales y  compromisos con clientes
  • Todas las leyes y regulaciones aplicables en las jurisdicciones donde operamos.

4. RESPONSABILIDADES EN SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es una responsabilidad compartida dentro de Simetrik.

Todos los empleados, proveedores y terceros con acceso a nuestros sistemas deben:

• Cumplir con las políticas y lineamientos de seguridad establecidos.
• Aplicar medidas adecuadas para la protección de la información.
• Reportar cualquier incidente o anomalía de seguridad de manera inmediata.
• Participar en los programas de formación en seguridad de la información.

El Director de Seguridad de la Información es responsable de proteger los activos de información y minimizar los riesgos asociados a dichos activos. 

Para más información sobre funciones específicas, consulta el documento de Roles y Responsabilidades.

5. CONTROLES Y MEDIDAS 

5.1 SEGURIDAD DE LA INFORMACIÓN

Implementamos controles para garantizar la protección de la información en las siguientes áreas:

• Control de acceso: Gestión de credenciales, autenticación multifactor (MFA) y privilegios mínimos.
• Protección de datos: Cifrado en tránsito y en reposo, anonimización y control de acceso a datos sensibles.
• Seguridad en la nube: Aplicación de controles de seguridad en servicios cloud.
• Seguridad en el desarrollo de software: Implementación de prácticas de desarrollo seguro y pruebas de vulnerabilidad.
• Gestión de incidentes de seguridad: Plan de respuesta, análisis de eventos y mitigación de riesgos.
• Gestión de riesgos: Evaluación y mitigación continua de amenazas.
• Monitoreo y auditoría: Análisis continuo de actividades y detección de anomalías.
• Seguridad en proveedores y terceros: Evaluación de riesgos, cumplimiento de requisitos de seguridad y acuerdos contractuales.
• Continuidad del negocio y recuperación ante desastres: Planes de contingencia para garantizar la operatividad en caso de incidentes.
• Concienciación y formación en seguridad: Capacitación continua para empleados  y terceros en buenas prácticas de seguridad, incluyendo ciberseguridad, ingeniería social y phishing.

5.2 CIBERSEGURIDAD

Simetrik adopta un enfoque  en ciberseguridad para proteger su infraestructura, datos y operaciones de amenazas digitales en evolución. Para ello, se establecen los siguientes principios y controles:

• Gestión de amenazas y vulnerabilidades: Monitoreo continuo de amenazas, análisis de vulnerabilidades y gestión  de riesgos cibernéticos.
• Protección contra ataques cibernéticos: Implementación de soluciones de seguridad avanzadas, como WAF, antivirus y herramientas de respuesta ante ataques.
• Seguridad en la red: Aplicación de controles para proteger redes internas y externas mediante segmentación, protocolos seguros y monitoreo de tráfico.
• Seguridad en identidades y accesos: Implementación de políticas de autenticación robusta, gestión de identidades para minimizar riesgos de acceso no autorizado.
• Ciberseguridad en dispositivos: Aplicación de controles de seguridad en endpoints y equipos corporativos para prevenir ataques dirigidos.

6. COMUNICACIÓN Y REPORTE DE INCIDENTES

El equipo de Seguridad de la Información de Simetrik está disponible para atender cualquier inquietud o reporte de incidentes a través de los correo incidents@simetrik.com. 

No informar sobre incidentes o violaciones puede derivar en acciones disciplinarias y/o correctivas según corresponda.

7. EXCEPCIONES

Cualquier excepción a esta política debe ser aprobada por el Director de Seguridad de la Información.

8. CUMPLIMIENTO 

La seguridad de la información es parte de nuestra identidad y compromiso con la confianza, la excelencia . El incumplimiento de esta política será considerado una falta grave y puede dar lugar a medidas disciplinarias, incluyendo sanciones administrativas o la terminación del contrato laboral, según la legislación vigente y las políticas internas de Simetrik. Todos los empleados, contratistas y terceros asociados son responsables de cumplir con esta política

‍

Emiliano Murúa Cuesta

Director de Seguridad de la Información

‍

Última actualización: 20 de Marzo de 2025