Política de seguridad

1. OBJETIVO 

Proteger los activos de información de Simetrik frente a riesgos y amenazas, tanto internas como externas, garantizando la confidencialidadintegridad, disponibilidad privacidad  de la información.

En Simetrik, la seguridad de la información es un pilar fundamental para la protección de nuestros activos, la confianza de nuestros clientes y el cumplimiento de normativas internacionales.

2. ALCANCE

Esta política aplica a todos los empleados, contratistas, proveedores y cualquier persona o entidad con acceso a los sistemas, información y activos de información de Simetrik.

3. PRINCIPIOS DE SEGURIDAD

Adoptamos un enfoque basado en riesgos para proteger los activos de información y la de los clientes frente a amenazas de alto impacto y probabilidad. 

Además, integramos los principios de seguridad de la información en la cultura organizacional, haciendo que la seguridad de la información sea responsabilidad compartida por la alta dirección, empleados, contratistas y terceros, asegurando así una estructura robusta de seguridad de la información.

Simetrik asume un firme compromiso con los siguientes principios fundamentales de seguridad y privacidad

  • Confidencialidad: Garantizamos que únicamente las personas autorizadas tengan acceso a la información, evitando accesos no autorizados o divulgaciones indebidas.
  • Integridad: Nos aseguramos de que la información esté protegida contra modificaciones no autorizadas, manteniéndola precisa, confiable y completa.
  • Disponibilidad: Aseguramos que la información esté disponible cuando sea requerida, sin interrupciones que afecten nuestra operación.
  • Privacidad: Protegemos los datos personales, respetando la privacidad de clientes, colaboradores y terceros, cumpliendo siempre con las leyes y regulaciones aplicables.

Lineamientos principales:

  • Se debe garantizar la Confidencialidad, Integridad, Disponibilidad y Privacidad de los activos de Información mantenidos dentro de Simetrik.
  • Todos los sistemas de información y activos de información utilizados en las operaciones y la prestación de servicios deben cumplir con los controles de seguridad definidos por Infosec
  • Todos los empleados, contratistas y terceros deben recibir formación y sensibilización anual en seguridad de la información para contar con los conocimientos, habilidades y herramientas necesarias para contribuir a la protección de la información, o de los activos de información a los que tienen acceso.
  • Se deben aplicar medidas para prevenir, detectar, responder, analizar, recuperar e investigar amenazas y vulnerabilidades de manera proactiva.
  • Se deben implementar metodologías y herramientas que permitan ajustarse ágilmente a los cambios en el entorno tecnológico y a nuevas amenazas.
  • La seguridad de la información debe estar integrada en todos los procesos estratégicos y operativos, garantizando que aporte valor y soporte el crecimiento de Simetrik.
  • Simetrik debe asegurar el cumplimiento de todas las leyes, normativas y estándares de seguridad aplicables:
    • Regulaciones internacionales y locales de privacidad y seguridad de datos
    • Estándar de Seguridad de Datos PCI DSS
    • Mejores prácticas de seguridad de la información, incluidas ISO 27001, ISO 27701, ISO 27018.
    • Acuerdos contractuales y  compromisos con clientes
    • Todas las leyes y regulaciones aplicables en las jurisdicciones donde operamos.

4. RESPONSABILIDADES EN SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es una responsabilidad compartida dentro de Simetrik.

Todos los empleados, proveedores y terceros con acceso a nuestros sistemas deben:

  • Cumplir con las políticas y lineamientos de seguridad establecidos.
  • Aplicar medidas adecuadas para la protección de la información.
  • Reportar cualquier incidente o anomalía de seguridad de manera inmediata.
  • Participar en los programas de formación en seguridad de la información.

El Director de Seguridad de la Información es responsable de proteger los activos de información y minimizar los riesgos asociados a dichos activos. 

Para más información sobre funciones específicas, consulta el documento de Roles y Responsabilidades.

5. CONTROLES Y MEDIDAS 

5.1 SEGURIDAD DE LA INFORMACIÓN

Implementamos controles para garantizar la protección de la información en las siguientes áreas:

  • Control de acceso: Gestión de credenciales, autenticación multifactor (MFA) y privilegios mínimos.
  • Protección de datos: Cifrado en tránsito y en reposo, anonimización y control de acceso a datos sensibles.
  • Seguridad en la nube: Aplicación de controles de seguridad en servicios cloud.
  • Seguridad en el desarrollo de software: Implementación de prácticas de desarrollo seguro y pruebas de vulnerabilidad.
  • Gestión de incidentes de seguridad: Plan de respuesta, análisis de eventos y mitigación de riesgos.
  • Gestión de riesgos: Evaluación y mitigación continua de amenazas.
  • Monitoreo y auditoría: Análisis continuo de actividades y detección de anomalías.
  • Seguridad en proveedores y terceros: Evaluación de riesgos, cumplimiento de requisitos de seguridad y acuerdos contractuales.
  • Continuidad del negocio y recuperación ante desastres: Planes de contingencia para garantizar la operatividad en caso de incidentes.
  • Concienciación y formación en seguridad: Capacitación continua para empleados  y terceros en buenas prácticas de seguridad, incluyendo ciberseguridad, ingeniería social y phishing.

5.2 CIBERSEGURIDAD

Simetrik adopta un enfoque  en ciberseguridad para proteger su infraestructura, datos y operaciones de amenazas digitales en evolución. Para ello, se establecen los siguientes principios y controles:

  • Gestión de amenazas y vulnerabilidades: Monitoreo continuo de amenazas, análisis de vulnerabilidades y gestión  de riesgos cibernéticos.
  • Protección contra ataques cibernéticos: Implementación de soluciones de seguridad avanzadas, como WAF, antivirus y herramientas de respuesta ante ataques.
  • Seguridad en la red: Aplicación de controles para proteger redes internas y externas mediante segmentación, protocolos seguros y monitoreo de tráfico.
  • Seguridad en identidades y accesos: Implementación de políticas de autenticación robusta, gestión de identidades para minimizar riesgos de acceso no autorizado.
  • Ciberseguridad en dispositivos: Aplicación de controles de seguridad en endpoints y equipos corporativos para prevenir ataques dirigidos.

6. COMUNICACIÓN Y REPORTE DE INCIDENTES

El equipo de Seguridad de la Información de Simetrik está disponible para atender cualquier inquietud o reporte de incidentes a través de los correo incidents@simetrik.com

No informar sobre incidentes o violaciones puede derivar en acciones disciplinarias y/o correctivas según corresponda.

7. EXCEPCIONES

Cualquier excepción a esta política debe ser aprobada por el Director de Seguridad de la Información.

8. CUMPLIMIENTO 

La seguridad de la información es parte de nuestra identidad y compromiso con la confianza, la excelencia . El incumplimiento de esta política será considerado una falta grave y puede dar lugar a medidas disciplinarias, incluyendo sanciones administrativas o la terminación del contrato laboral, según la legislación vigente y las políticas internas de Simetrik. Todos los empleados, contratistas y terceros asociados son responsables de cumplir con esta política.

Emiliano Murúa Cuesta

Director de Seguridad de la Información

Última actualización: 20 de Marzo de 2025

Este sitio está registrado en wpml.org como sitio de desarrollo. Cambia a una clave de sitio de producción en remove this banner.