Menú
1.1. Política de Seguridad de la Información
En Grupo Estrategas EMM, S.A. de C.V., tenemos el compromiso con los clientes, proveedores, colaboradores y socios de garantizar la confidencialidad, integridad y disponibilidad de la información que almacenamos, gestionamos y procesamos, cumpliendo con las regulaciones y acuerdos contractuales en materia de seguridad de la información.
Lo anterior es posible dado a los controles implementados de seguridad físicos, lógicos y administrativos, que permiten cumplir con los requisitos legales, normativos y contractuales, así como los objetivos de seguridad de la información, los cuales apoyan y están alienados a los objetivos del negocio. Grupo Estrategas EMM está comprometido a mejorar continuamente la Seguridad de la Información.
1.2. Comunicación de la Política
El Oficial de Seguridad de la Información asegura que todos los colaboradores, así como los participantes externos correspondientes, estén familiarizados con la Política de Seguridad de la Información y el Marco Normativo de Seguridad de la Información dentro de la organización.
El medio para comunicar la política descrita en el punto 4.1 puede ser por medios electrónicos, físicos, cursos y/o reuniones.
1.3. Objetivos de Seguridad de la Información
El Comité de Seguridad de la Información, en conjunto con el Oficial de Seguridad de la Información, son los responsables de revisar, actualizar y establecer nuevos objetivos de Seguridad de la Información.
El Oficial de Seguridad de la Información es el responsable de definir el método para medir el cumplimiento de los objetivos; la medición es establecida por lo menos una vez al año, con reporte al Comité de Seguridad de la Información, como material para la revisión por parte de la Dirección. Las políticas y objetivos de seguridad de la información son medidas con registros cuantificables depositados en el SI-MAN-01-F04 Cuadro de Mando de Seguridad de la Información.
1.4. Requisitos para la Seguridad de la Información
Las políticas y procedimientos de seguridad de la información deben cumplir con los requisitos legales y normativos en el ámbito de la seguridad de la información, así como con las obligaciones contractuales.
En el formato SI-MAN-02-F01 Contexto Organizacional se detallan las partes interesadas en torno a la organización, cuyos requisitos legales, regulatorios y contractuales son identificados y actualizados periódicamente en la SI-POL-03-F01 Matriz de Requisitos Legales y Contractuales, garantizando así el cumplimiento de estas obligaciones. Las evidencias citadas en la columna “Cumplimiento SGSI” forman parte del Expediente de Cumplimiento de la organización.
1.5. Políticas y Procedimientos de Seguridad de la Información
Las políticas y el procedimiento de seguridad de la información son documentadas conforme el SI-MAN-01 Marco Normativo de Seguridad de la Información.
El Oficial de Seguridad de la Información es responsable de identificar las mejoras en el SGSI, notificar al responsable del proceso o sistema para su evaluación y solicitar plan de atención para seguimiento y verificar su cumplimiento.
El incumplimiento de cualquier lineamiento establecido en las Políticas, Cláusulas o Procesos anteriormente señalados es sancionado con base en la gravedad de la falta. Las sanciones están descritas en el reglamento interno, el cual es leído, entendido y firmado por los colaboradores de la organización en el momento de su contratación. Las sanciones pueden consistir desde una llamada de atención hasta el despido justificado.
Si el incidente no fuera de gravedad, el departamento de Recursos Humanos puede instruir o aplicar la sanción, misma que debe ser comunicada a la Dirección. Si el incidente fuera grave, la sanción es asignada por la Dirección, posterior a un análisis de la falta cometida entre la Dirección, Recursos Humanos y el Responsable de SI.
El robo de información o difusión de ella sin el consentimiento expreso y por escrito del Oficial de la Seguridad de la Información es considerado un incidente grave, mismo que tiene como consecuencia el despido justificado. Igualmente, Grupo Estrategas EMM reserva su derecho de proceder legalmente contra quien o quienes resulten responsables.
1.8. Excepciones a la Política
Se podrán considerar solicitudes de excepción bajo las siguientes circunstancias:
1.8.1. Procedimiento para la Solicitud de Excepción
Toda solicitud de excepción a esta Política debe ser informada al área de Seguridad de la Información y autorizada por Dirección General por medio de correo electrónico, con las siguientes especificaciones:
Las excepciones no aprobadas expresamente se considerarán una falta grave para quien las haya ejecutado y podrá ser causa de un acta administrativa o baja de la empresa, según el impacto.
Las excepciones tendrán una vigencia máxima de 6 meses y deberán ser revisadas periódicamente para verificar si aún son necesarias.
Toda excepción deberá ir acompañada de medidas de mitigación que reduzcan el riesgo, tales como: