Política de seguridad de la información

Última actualización: febrero de 2021

1 Política de seguridad de la información de Inepro Group

1.1 Introducción

Inepro tiene una amplia gama de aplicaciones que funcionan a la perfección con sus productos de hardware y mejoran su eficacia en general. Juntos conforman las soluciones completas que ofrece Inepro a las organizaciones educativas, asistenciales, gubernamentales y corporativas. Los controles intuitivos y claros son fundamentales para el desarrollo de las aplicaciones. Las interfaces fáciles de usar garantizan una experiencia de trabajo eficiente y agradable. Todas las aplicaciones se pueden configurar por completo para satisfacer completamente sus requisitos específicos.

El software se divide en dos categorías: aplicaciones de back-end, como software de administración y contabilidad, y aplicaciones de front-end, como soluciones de punto de venta, impresión en la nube y software embebido para MFP.

Además del software, Inepro Group también desarrolla y ofrece servicios de implementación, capacitación, coaching, mantenimiento, soporte y hosting.

Sin embargo, algunos clientes y prospectos ahora requieren que Inepro Group adquiera un certificado ISO 27001. Inepro Group considera la obtención del certificado ISO 27001 como una medida para cubrir los riesgos operacionales a corto plazo porque si no lo obtenemos podemos perder importantes clientes o pedidos.

2 Responsabilidad, propósito y audiencia

Considerando el posible impacto de las interrupciones en las operaciones comerciales y la continuidad de Inepro Group y sus clientes, la junta directiva de Inepro Group tiene la responsabilidad general de la política de seguridad de la información.

El Documento de Política de Seguridad de la Información (en adelante Política de SI) tiene como objetivo gestionar los riesgos relacionados con la confidencialidad, integridad y continuidad del suministro de información dentro de Inepro Group y puede definirse de la siguiente manera:

"Ofrecer un marco de principios de políticas para la confidencialidad, integridad y disponibilidad del suministro de información para lo cual se ha desarrollado un sistema equilibrado (efectivo y eficiente) de medidas interrelacionadas para proteger la estructura contra amenazas internas y externas".

Todas las partes interesadas deben asegurarse de que los principios de la política establecidos en esta Política de SI se cumplan en la implementación de la organización, los procedimientos, los métodos y los sistemas de información utilizados.

3 Alcance

Esta política se aplica a toda la información creada, recibida, transmitida o almacenada como parte de los servicios que el Inepro Group brinda a sus clientes y las obligaciones contractuales relacionadas y los procesos de soporte. La política y su implementación se aplican a todos los empleados de Inepro Group. Se deben informar las desviaciones para garantizar que el sistema de gestión pueda seguir mejorando. La política también se aplica a los contratistas que ayudan a Inepro Group a brindar servicios a sus clientes.

El código ético es una parte integral de esta política y debe ser observado por todos los empleados, contratistas y aprendices. El Inepro Group se esfuerza por seleccionar medidas de seguridad basadas en principios lógicos que sean rentables y sostenibles tanto como sea posible. Estos principios son:

- No necesita proteger los datos que no están en su poder o que no son confidenciales.

- No arrastre los datos (es decir, no los copie).

- Separación de datos

Todos los empleados deben poner en práctica estos principios.

3.1 Propiedad y alcance de la política

Inepro Group es responsable de la prestación de sus servicios con suficientes opciones de seguridad para permitir que sus clientes cumplan con los estándares de SI aplicables y otras leyes y regulaciones. El alojamiento y la gestión del software también cumplen con estos requisitos. Sin embargo, esto no libera al cliente de la responsabilidad última por la seguridad de su suministro de información.

Cada sistema de información, incluidos los datos asociados, debe tener un propietario explícito. La propiedad implica la responsabilidad última del sistema, incluida la determinación de los riesgos asociados con el sistema, la clasificación del sistema y los datos asociados, y el desarrollo (subcontratado) de medios adecuados de seguridad y medidas de control interno. Además de la aplicación, esto también incluye el uso correcto de los componentes de la infraestructura (estaciones de trabajo, servidores y la red interna y externa), el procesamiento correcto, la gestión adecuada, el desempeño adecuado del personal, acuerdos con terceros, y la seguridad e instalaciones utilizadas para prevenir o manejar incidentes y calamidades.

A esto lo llamamos la responsabilidad última porque una serie de aspectos del sistema de información se subcontratan a otros titulares, por ejemplo, el Inepro Group. No se persigue un nivel máximo de seguridad, sino el mejor nivel posible para garantizar que Inepro Group pueda subcontratar sus servicios a costos aceptables.

3.2 Desarrollo de esta política

Los análisis de riesgo se realizan en base a esta política y se definirá un conjunto de medidas y controles como un estándar interno que servirá como nivel mínimo para los servicios prestados a los clientes. Se puede acordar un mayor nivel de seguridad con un cliente en consultoría.

3.3 Evaluación de la efectividad y cumplimiento de la política

La Junta directiva evaluará internamente la efectividad y el cumplimiento de la política y hará los ajustes que sean necesarios.

Cada año se realizará una auditoría interna. Esta auditoría interna incluye una reevaluación de los riesgos, nuevos contratos y leyes y regulaciones. El informe también incluye un plan con sugerencias de mejora. La Junta directiva evaluará el informe, aceptará o rechazará propuestas y asignará un presupuesto para lograrlas.

Una parte externa competente y capacitada auditará anualmente la efectividad del sistema de gestión de SI. Este informe estará disponible para clientes (potenciales).

4 Principios de política/objetivos de SI

La Junta directiva utiliza estos principios/objetivos de política para indicar cómo quiere implementar la seguridad de la información de una manera que sea apropiada para el Inepro Group. Los siguientes principios/objetivos de SI deben usarse al implementar esta política:

1. La seguridad de la información es un riesgo operacional importante para el Inepro Group. Es por esto por lo que la Junta directiva adopta la política, evalúa los riesgos, determina las medidas y organiza periódicamente la evaluación interna y externa de estas medidas para asegurar que el sistema de gestión de SI continúa funcionando adecuadamente y se mejora donde sea necesario.

2. Inepro Group cumple con la legislación pertinente y los acuerdos contractuales con sus clientes y socios comerciales para la seguridad de su información.

3. Inepro Group se esfuerza por mejorar continuamente los servicios que brinda a sus clientes.

4. Los objetivos y medidas de control de la norma NEN-ISO / IEC 27001 y los lineamientos de privacidad de la AP, en la medida en que contribuyan a la seguridad de la información de Inepro Group, sirven de base a las medidas que se precisan definir. Esta es principalmente una consideración económica.

5. Inepro Group considera el ciberdelito como un problema social indeseable y considera que es su deber tomar las medidas adecuadas para limitar al máximo los daños causados por la actividad delictiva.

6. Inepro Group considera la confianza como un activo importante y observa el principio de reciprocidad con sus empleados, proveedores y otros grupos de interés. Inepro Group espera que estas partes cumplan con sus acuerdos en lo que respecta a la integridad, confidencialidad y continuidad del suministro de información.

7. La política de RH también apunta a mejorar la integridad, confidencialidad y continuidad del suministro de información entre los empleados. Esto se abordará en una revisión anual.

8. La seguridad física y logística de los edificios y locales será tal que se asegure la confidencialidad, integridad y disponibilidad de los datos y su procesamiento.

9. La compra, instalación y mantenimiento de los sistemas de información y comunicación y el despliegue de nuevas tecnologías deben realizarse con medidas adicionales si es necesario para asegurar que no afecten negativamente a la seguridad de la información.

10. Los contratos adjudicados a terceros para la realización de trabajos incluirán medidas suficientes para asegurar que no sea posible que se produzca una violación de la confidencialidad, integridad y continuidad del suministro de información.

11. Se tomarán medidas para el procesamiento y uso de datos para asegurar la privacidad de clientes, empleados y otros interesados.

12. La seguridad de acceso garantiza que personas o procesos no autorizados no puedan acceder a los sistemas de información, archivos de datos y software de Inepro Group.

13. El suministro externo de datos se llevará a cabo en función de la "necesidad de saber". Este no es siempre el enfoque más deseable a nivel interno porque el intercambio de conocimientos es esencial para la prestación rentable de servicios a los clientes.

14. Inepro Group y sus empleados tomarán las medidas necesarias para que la información confidencial no acabe en manos de terceros.

15. La entrada del cliente con datos confidenciales se archivará o destruirá poco después del procesamiento.

16. El transporte de datos se llevará a cabo con suficientes medidas de seguridad para garantizar que no sea posible una violación de la confidencialidad e integridad de los datos.

17. El personal autorizado también debe tener acceso remoto seguro a los entornos de producción que sean relevantes para ellos. No se almacenan datos confidenciales fuera del entorno de producción. Las desviaciones son posibles sujetas a condiciones específicas.

18. Los entornos de producción están separados de otros entornos y permiten derechos de acceso específicos y monitoreo de acceso.

19. La gestión y el almacenamiento de datos en entornos de producción se llevarán a cabo de forma que se garantice que no se pierdan datos, salvo en casos de fuerza mayor.

20. Las organizaciones de desarrollo, gestión y usuarios incluyen claras distinciones entre puestos. Las posiciones también se distinguirán claramente cuando sea posible y deseable.

21. Inepro Group cuenta con un procedimiento para manejar adecuadamente y aprender de las incidencias.

22. También existen planes de emergencia e instalaciones para asegurar la continuidad del suministro de información.

23. Cuando se subcontrata el tratamiento de datos, la Junta directiva puede decidir desviarse temporalmente de estos principios de política y aceptar los riesgos correspondientes.

24. Los principios de política enumerados se aplican al procesamiento de datos del que Inepro Group es legal y/o contractualmente responsable.

25. La seguridad de la información forma parte del diseño, desarrollo y gestión de software, incluso si lo hacen terceros. La seguridad y la privacidad por diseño son los principios fundamentales en este contexto.

26. Inepro Group y su personal son conscientes de la sensibilidad a la privacidad de los datos personales (especiales) que procesan y siempre garantizan la protección, corrección y transparencia de estos datos para proteger la privacidad de los interesados.