Introducción

En Tec Pluss, la seguridad de la información es un pilar fundamental para proteger
nuestros activos de información de cualquier pérdida de confidencialidad, integridad o
disponibilidad, ya sea accidental o intencional. Esta política establece el marco
estratégico para la protección de la información, guiando la implementación de medidas
costo-efectivas en personas, procesos y tecnología, y asegurando el cumplimiento de
obligaciones legales y regulatorias.

Objetivo

El objetivo principal de esta política es implementar medidas efectivas de seguridad para
la protección integral de la información de Tec Pluss a través de métricas y
procedimientos específicos.

Alcance

Esta política se aplica a todos los activos de información de Tec Pluss, incluyendo datos,
procesos, actividades, sistemas, redes, así como toda la infraestructura necesaria
relacionada con la gestión de la información dentro del centro de datos de las
instalaciones de Tec Pluss, para la entrega de servicios como: Cherwell, EuroTEC y
Footprints, parte fundamental de la Mesa de servicios, así como herramientas de apoyo
como OneDrive.

Es imprescindible que todos los colaboradores de Tec Pluss, así como terceros y
proveedores que interactúan con la información de la empresa, estén obligados a
cumplir con esta política.

Principios de la Política

• Seguridad Integral: La seguridad de la información se considera un aspecto fundamental en todas las actividades y procesos de Tec Pluss.
• Seguridad por Defecto: Los controles de seguridad se implementan de forma proactiva y se integran en el diseño de los sistemas y procesos.
• Gestión de Riesgos: Se adopta un enfoque basado en riesgos para identificar, evaluar y tratar las amenazas a la seguridad de la información.
• Mejora Continua: Se promueve la mejora continua del Sistema de Gestión de Seguridad de la Información (SGSI) para adaptarse a los cambios en el entorno y las nuevas amenazas.
• Cumplimiento Normativo: Se garantiza el cumplimiento de las leyes, regulaciones y estándares aplicables en materia de seguridad de la información, incluyendo ISO/IEC 27001:2022, ISO/IEC 20000-1:2018 e ISO/IEC 9001:2015.
• Concientización y Capacitación: Se fomenta la cultura de seguridad de la información a través de programas de concientización y capacitación para todo el personal.
• Calidad como Forma de Vida: Siguiendo la Política de Gestión de Servicios, la calidad en la seguridad de la información es una forma de vida en la organización.
• Exceder las expectativas del cliente: Logrando que nuestros clientes obtengan una mejor percepción de nuestros servicios mediante el cumplimiento de los niveles de servicio acordados, agregando valor y mejorando nuestros entregables de forma continua. Brindando costos competitivos, flexibilidad y servicios que apoyen a su negocio.
• Clase Mundial: Nuestros niveles de servicio son tomados como modelo para otras organizaciones por las mejores prácticas de TI que tenemos implantadas, estamos apegados al marco ITIL y seguimos los estándares de las normas internacionales ISO/IEC 20000-1:2018, ISO/IEC 9001:2015 e ISO/IEC 27001:2022.

Confidencialidad de la Información personal externo/proveedores

• El personal externo que tenga acceso a información de Tec Pluss deberá considerar que dicha información, por defecto, tiene el carácter de confidencial.
• Se evitará la revelación, modificación, destrucción o mal uso de la información cualquiera que sea el soporte en que se encuentre contenida.
• El personal externo únicamente utilizará herramientas informáticas dispuestas por Tec Pluss y exclusivamente para usos profesionales.
• Estas obligaciones estarán vigentes tras la finalización de las actividades que el personal externo desarrolle para Tec Pluss.
• Se prohíbe expresamente:
  • Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar los datos, programas o documentos electrónicos propiedad de Tec Pluss.

Responsabilidad personal interno

• Proteger la información confidencial perteneciente a Tec Pluss de toda revelación no autorizada, modificación, destrucción o uso incorrecto, ya sea accidental o no.
• Contar con la autorización necesaria para obtener el acceso a los sistemas de información y/o la información accedidos.
• Reportar cualquier incidente de seguridad que se presente en su equipo, o que sea percibido en la información usada en las labores diarias.
• Administrar y clasificar la información a su cargo.
• Mantener la confidencialidad de las contraseñas.

Compromiso de la Dirección

• Proporcionar los recursos necesarios para la implementación y mantenimiento del SGSI.
• Establecer y revisar periódicamente los objetivos de seguridad de la información.
• Promover la cultura de seguridad de la información en toda la organización.
• Asegurar la mejora continua del SGSI y su eficacia.
• Revisar esta política anualmente o cuando sea necesario para asegurar su adecuación y eficacia.
• Comunicar y asegurar que esta política sea entendida por todos los colaboradores, terceros y proveedores.
• Mantener la coherencia de esta política con la misión, visión, valores y objetivos de la organización.
• Mantener el compromiso de la Mejora Continua del Sistema de Gestión Integral y de su eficacia.
• Exceder las expectativas del cliente brindando un servicio de TI de clase mundial y seguridad de la información robusta.
• Mantener los niveles de servicio de clase mundial basados en las mejores prácticas de TI, el marco ITIL y los estándares ISO/IEC 20000-1:2018, ISO/IEC 9001:2015 e ISO/IEC 27001:2022.

Responsabilidades del Equipo de Seguridad de la Información:

• Ejecución y supervisión de la política PO-SGR-01
• Establecer un enfoque para identificar, evaluar y gestionar los riesgos asociados con la seguridad de la información.
• Revisión y mantenimiento de la política.
• Especificar consecuencias y acciones que se tomarán en caso de incumplimiento.

Esta política se alinea con los principios de la Política del Sistema de Gestión Integral de
Tec Pluss, que prioriza la satisfacción del cliente, la calidad del servicio y la mejora
continua.