🙌 ¡Gracias por contactarnos!

📩 Te hemos enviado un correo con los siguientes pasos, no olvides revisar tu buzón

Oops! Something went wrong while submitting the form.

“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”

Sergio García

Engineer Manager

“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”

Pablo Padilla

Gerente TI

“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”

Jaime Zenizo

CEO & Partner

“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”

Ilse Fernández

Data and Information Management

“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”

Enrique Guzman

Chief Information and Security Officer

Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.

Manuel Andere

Chief Technology Officer

Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.

Erick Pérez

Director General

Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.

Juan Leonardo Hinojosa

Gerente de Ciberseguridad

"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”

Joaquin Rivera

Co-Founder & CEO - Kikoya

"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”

Paolo Rizzi

Co-Founder & CTO - minu

"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”

Alberto Navarro

Head of Product - Arkángeles

Regresar

Cumplimiento

Tiempo

Política de seguridad de la información: qué es, importancia y cómo gestionarla

Infórmate acerca del concepto de las políticas de seguridad de la información, su importancia empresarial, y cómo puedes lograr su buena gestión.

Jorge García Martinez

Actualizado:

2/10/24

Publicado:

11/1/23

Tabla de Contenidos

Link

¿Qué es Delta Protect?

Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐

En esta era digital, la información que manejan las empresas está sujeta a riesgos y vulnerabilidades como el acceso sin autorización previa. Es por ello que se deben establecer políticas de seguridad de la información para mantener la privacidad de los datos y usuarios. Aquí te explicamos qué debes hacer para lograrlo.

¿Qué es la política de seguridad de información?

La norma ISO/IEC 27001 establece que las «políticas de seguridad de información son preceptos que debe cumplir todo el personal de una compañía, de manera que se asegure su integridad, garantizando que la información y sus métodos de proceso son exactos y completos».

Según la misma norma, se define como seguridad de la información «el conjunto de medidas y procedimientos puestos en marcha por las empresas para proteger la confidencialidad de la información y la disponibilidad e integridad de los datos».

En la política de seguridad de la información se define qué se desea proteger, las responsabilidades de los usuarios de un sistema y cómo será supervisada la efectividad de las medidas de seguridad para evitar que las defensas sean burladas. Esto contribuirá con la implementación de un adecuado Sistema de Gestión de Seguridad de la Información (SGSI), tal y como lo establece la norma ISO 27001.

¿Por qué son importantes para las startups y pymes?

Las políticas de seguridad permiten que los departamentos de tecnología de la información disminuyan las brechas y vulnerabilidades que pueden afectar la privacidad de la información dentro de los distintos niveles de una empresa.

Las medidas de seguridad que se tomen ayudarán a reducir los riesgos de seguridad y a aumentar el nivel de protección de la información confidencial como: contraseñas, datos personales, copias de seguridad, bases de datos, propiedad intelectual.

Una política de seguridad eficaz cumple con los requisitos de ley en materia de seguridad de la información. Esto contribuye con la prevención de incidentes de seguridad que puedan ocasionar la fuga de datos y la violación de la confidencialidad de la información.

¿Por qué las empresas tienen políticas de seguridad?

Dentro de las políticas de seguridad, tenemos los protocolos establecidos en donde se deja claro cuáles son las acciones que el colaborador debe evitar en su puesto de trabajo, ya que representan amenazas que comprometen la ciberseguridad de la empresa. Por ejemplo, no abrir correos de origen desconocido o cliquear en links de páginas que no están verificadas.

Por otro lado, también se incluyen recomendaciones sobre buenas prácticas de seguridad que ayudan a disminuir las posibles brechas de seguridad, como elaborar contraseñas con combinaciones de caracteres alfanuméricos.

De esta forma, las políticas de seguridad de la información aportan conocimiento práctico a los empleados sobre las medidas de seguridad necesarias para disminuir las vulnerabilidades y mantener protegidos los sistemas de información.

¿Cómo elaborar una política de seguridad de la información?

Hemos definido 8 pasos fundamentales que debes cumplir al momento de establecer una política de seguridad de la información que permita una protección adecuada de los datos durante todo su ciclo de vida:

1. Determinar el objetivo de seguridad

En esta primera etapa debes definir el propósito de tu política de seguridad de la información. Esto incluye:

Preservar la seguridad de la información.
Proteger la reputación de la empresa.
Detectar con anticipación las brechas de seguridad de los sistemas informáticos, dispositivos móviles, redes, sistema operativo y proveedores externos.
Cumplir con los requisitos legales, éticos y reglamentarios de seguridad informática, protección de datos personales y confidenciales de los clientes.
Responder de manera oportuna a los reclamos sobre el incumplimiento de la política de seguridad.

2. Definir la audiencia

Una vez especificado el objetivo de la política de seguridad de la información, debes establecer a quién se le aplica y a quién no.

Es recomendable tener en cuenta no solo a agentes internos, sino también los riesgos de proveedores y terceros involucrados para proteger los datos de tus clientes de posibles filtraciones.

3. Establecer controles de seguridad

Hay que describir cómo se debe manejar la información confidencial según el nivel de autoridad que se tenga sobre los datos, los sistemas de TI y el acceso físico.

En el control de seguridad, la disponibilidad de la información puede estar sujeta a requisitos de autenticación como una contraseña segura, tokens de acceso, datos biométricos o tarjetas de identificación para los usuarios autorizados por el responsable de seguridad.

4. Clasificar los datos

Aquí defines cuánta protección necesita tu activo de información, según su nivel de clasificación:

Nivel 1: información pública.
Nivel 2: información considerada como confidencial, pero cuya divulgación no ocasiona un daño material.
Nivel 3: hay un riesgo de daño material en caso de divulgación.
Nivel 4: hay un alto nivel de riesgo de daño grave a las personas o la empresa si la información se divulga.
Nivel 5: la divulgación de la información generará daños graves a las personas y la empresa.

5. Especificar el manejo de datos y operaciones

En esta etapa describes cómo manejar los datos que clasificaste. Eso es según las regulaciones de protección (hay estándares internacionales), los requisitos de respaldo (nivel de encriptación y proveedores externos involucrados) y el movimiento de los datos (si debe ser con cifrado y evitar redes públicas que los exponga a ataques de intermediarios).

6. Capacitar al personal

Recursos humanos debe velar porque el personal sea entrenado continuamente en materia de gestión de riesgos, manejo de la información, amenazas de seguridad existentes, control de acceso y protección de datos.

Esta capacitación debe incluir información actualizada sobre ingeniería social (phishing, vishing, business email compromise, entre otros), el uso aceptable de la intranet y la seguridad de la red.

7. Asignar los roles y responsabilidades

En esta etapa se pone en práctica la política de seguridad de la información con la asignación de los roles en:

Programas de seguridad
Políticas de uso aceptable
Seguridad de la red
Continuidad del negocio
Seguridad física
Gestión de acceso
Evaluaciones de riesgo
Respuesta al incidente
Recuperación de desastres
Administraciones de incidentes de seguridad

8. Apóyate en expertos en seguridad de la información

Gracias a la ayuda de los expertos será más sencillo elaborar una política de seguridad que vaya acorde con el funcionamiento de la empresa y que garantice la seguridad, confidencialidad y disponibilidad de los datos almacenados.

En Delta Protect, contamos con herramientas que permiten automatizar la detección de vulnerabilidades, lo que permitirá identificar brechas o riesgos de seguridad de forma eficaz que pueden poner en peligro la información del personal.

Al automatizar el análisis de las brechas de ciberseguridad, podrás mantener una política de seguridad actualizada, garantizando así que la información delicada se mantenga a salvo de cualquier amenaza externa.

9 tips para una buena gestión de políticas de seguridad de la información

Existen una serie de buenas prácticas que se pueden implementar dentro de la empresa para complementar las políticas de seguridad de la información.

Políticas de usos aceptables: especifica cuáles son las limitaciones que debe aceptar un colaborador al momento de usar una computadora u otro equipo de la empresa, así como su red corporativa.
Políticas de control de acceso: explica los controles de acceso a los sistemas de información y los datos que tiene una empresa.
Política de gestión de incidentes de seguridad: es un enfoque organizado que se crea en la empresa con el objetivo de fijar el procedimiento para gestionar y remediar los incidentes que se presenten.
Política de manejo de cambios: establece un proceso formal para que se puedan realizar cambios en TI, seguridad y desarrollo de software.
Política de acceso remoto: establece los métodos que son considerados aceptables para conectarse de forma remota a las redes internas de la empresa, sin poner en riesgo el plan de gestión de la seguridad de la información.
Política de recuperación ante desastres: comprende los aportes que pueden hacer los equipos de TI y ciberseguridad al plan general de continuidad del negocio de una empresa.
Política de regulaciones de privacidad: describe cómo la empresa cumple con las regulaciones establecidas por el gobierno para proteger la privacidad de los clientes; por ejemplo, el Reglamento General de Protección de Datos (GDPR).
Plan de continuidad del negocio: coordina las acciones de respuesta ante incidentes de seguridad informática que podrían interrumpir las operaciones de la empresa. El objetivo es garantizar la continuidad del negocio y minimizar el impacto de los ataques cibernéticos.
Plan de clasificación de la información: describe cómo la empresa tiene clasificados los datos que posee para implementar un nivel adecuado de protección según su importancia.

La puesta en marcha de las presentes políticas, sumadas a la continua actualización de los sistemas de gestión de seguridad de la información y del recurso humano de la empresa, contribuirá con la protección de datos en todos los niveles.

En Delta Protect estamos comprometidos a devolver a las startups y pymes de Latam la privacidad y seguridad cibernética. Conoce más sobre nuestras soluciones de ciberseguridad agendando una demo de Apolo con nuestros expertos.

Escrito por:

Jorge García Martinez

Head of Security & Compliance

Experto en Seguridad de la Información con más de 25 años de experiencia en el sector financiero y farmacéutico para diversas empresas en México, como Citibanamex, Banca Mifel, Volkswagen Bank, GBM y SANFER entre otros. Se ha especializado en la gestión de riesgos tecnológicos con la finalidad de sensibilizar a los grupo de Dirección sobre la importancia de certificar a las empresas como medio que agrega valor y confianza a autoridades, clientes e inversionistas.