Política de Seguridad de la Información.

1. Introducción
Este documento establece la política de SINAPI LLC basada en la norma ISO 27001.
SINAPI LLC es una empresa de tecnología dedicada a comercialización y prestación de los siguientes servicios:
- soporte técnico de nivel 1, 2 y 3, especializado en localización y globalización a plataformas, softwares y aplicaciones de terceros;
- desarrollo evolutivo y correctivo de softwares de terceros;
- localización.
- Marketing digital.

SINAPI LLC se compromete a garantizar la confidencialidad, integridad y disponibilidad de la información en todas las áreas de la organización. Para ello establece un Sistema de gestión de seguridad de la información a través de un conjunto de medidas integrales y controles de seguridad para la protección de los activos y datos sensibles de la empresa y sus clientes, asegurando la continuidad del negocio y la preservación de la información.

SINAPI LLC se compromete a proteger los activos y la reputación de la organización, así como a cumplir con los requisitos legales y regulatorios pertinentes y de sus partes interesadas en materia de seguridad de la información.

2. Alcance
El alcance de la implementación de ISO 27001 en SINAPI LLC se aplica a todas las personas de la empresa y terceros con acceso a la información de SINAPI LCC, incluyendo la información a la que se accede de terceras partes. Esto involucra todas las actividades de la organización.
Se aplica a todos los activos de información, ya sea en formato electrónico, impreso o cualquier otro medio.

3. Responsabilidades
La dirección ejecutiva es responsable de garantizar que se asignen recursos adecuados para implementar y mantener medidas de seguridad. Como así también de garantizar que sean establecidos los objetivos y planes para el SGSI, y que estos sean revisados al menos de forma anual.

El Responsable de Seguridad de la Información (RSI) supervisa la aplicación de las políticas, procedimientos, y controles. Así como de definir y diseñar los controles en apoyo a los Propietarios de los activos.

Los responsables de área serán los propietarios de los activos y del riesgo de los mismos, así como de la definición e implementación de sus controles con el apoyo del RSI.

Todos los empleados son responsables de adherirse a esta política y de contribuir a la seguridad de la información por lo que deben ser conscientes de los riesgos de seguridad de la información dentro de sus actividades diarias en la empresa.

4. Desarrollo de la política:

4.1 Control de la Información y Control de accesos

Se establecen niveles de clasificación de la información para determinar los niveles de acceso y protección requeridos con el fin de prevenir la divulgación, modificación, eliminación o destrucción no autorizadas de información almacenada en medios.

Acceso y Control de la Información

Se asignan permisos de acceso basados en el principio de "menos privilegios". La delimitación del acceso incluye no solo la información sino también las instalaciones de procesamiento de la información.
Se implementa un sistema de gestión de identidad y acceso para administrar la autorización de usuarios.
Se establecen controles para garantizar la seguridad en el teletrabajo y en el uso de dispositivos móviles.

4.2 Controles criptográficos

SINAPI LLC garantiza el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la integridad de la información.

4.3 Protección física y del entorno

SINAPI LLC impide accesos físicos no autorizados, daños e interferencia a la información y a las instalaciones de procesamiento de información de la organización.

4.4 Seguridad de las operaciones

En SINAPI LCC:

❖ Garantizamos la operación correcta y segura de las instalaciones de procesamiento de la información.

❖ Garantizamos que la información y las instalaciones de procesamiento de información estén protegidas contra código malicioso y otras vulnerabilidades técnicas.

❖ Nos protegemos contra la pérdida de datos.

❖ Registramos eventos y generamos evidencia en nuestro sistema de trackeo.

❖ Garantizamos la integridad de los sistemas en producción.

4.5 Seguridad de las comunicaciones

Garantizamos la protección de la información en las redes y sus instalaciones de procesamiento de la información que la soportan.

4.6 Adquisición, desarrollo y mantenimiento de los sistemas

Garantizamos que la seguridad de la información sea una parte integral de los sistemas de información a lo largo de todo el ciclo de vida y que se diseñe e implemente en forma temprana el desarrollo de los sistemas de información con la activa participación del RSI en los proyectos.

4.7 Relación con los proveedores

Garantizamos la protección de los activos de la organización a los cuales tienen acceso los proveedores, manteniendo un nivel acordado de seguridad de la información y de prestación de servicio alineados con los acuerdos con los proveedores.

4.8. Desarrollo de Software Seguro

Se seguirán prácticas de desarrollo seguro, como revisión de código, pruebas de seguridad y evaluaciones de vulnerabilidades.

Se mantendrán actualizados los componentes y bibliotecas de software utilizados.

4.9. Seguridad en la Infraestructura

Los sistemas críticos se alojan en entornos seguros y se aplican actualizaciones regularmente.

4.10. Respuesta a Incidentes

Se mantiene un plan de respuesta a incidentes que incluya procedimientos para detectar, informar y mitigar incidentes de seguridad.

Los incidentes se documentan y se realizan análisis post-incidentes para mejorar la seguridad.

4.11 Aspectos de seguridad de la información en la gestión de la continuidad del negocio

Consideramos la continuidad de la seguridad de la información en los sistemas de gestión de la continuidad del negocio de SINAPI LCC, garantizando la disponibilidad de las instalaciones de procesamiento de la información.

4.12. Formación y Concienciación

Se llevan a cabo programas regulares de formación en seguridad para empleados y contratistas para garantizar que todos comprendan sus responsabilidades y estén al tanto de las amenazas y mejores prácticas. De esa forma garantizar que las personas que realizan el trabajo bajo el control de la organización entiendan sus responsabilidades y sean idóneos para los roles para los cuales se los considera.

Se provee la concienciación sobre seguridad de la información a través de campañas de sensibilización.

4.13. Cumplimiento Legal y Normativo

La empresa cumple con las leyes y regulaciones de protección de datos y seguridad de la información aplicables.
Se establecen procedimientos para garantizar el cumplimiento de estándares relevantes (ISO 27001 aplicable).

5. Revisión de la Política

Esta política se revisa al menos anualmente para garantizar su relevancia y eficacia en un entorno en constante evolución.
La mejora continua es un pilar fundamental para mantener y actualizar el SGSI de acuerdo con las cambiantes amenazas y requisitos de seguridad.

6. Documentos relacionados

El manual de seguridad de la información amplía la información contenida en cada punto de esta política.

7. Aprobación y Divulgación

Todos los empleados, contratistas y terceros deben leer, comprender y aceptar esta política antes de interactuar con los sistemas y la información de SINAPI LCC.