Establecer el compromiso y liderazgo de la alta gerencia mediante la definición de la Política General de Seguridad de la Información en concordancia con el Sistema de Gestión de Seguridad de la Información de Aranda Software y con el propósito de preservar la integridad, confidencialidad y disponibilidad de la información.
Aplica para los activos de información necesarios para el funcionamiento de los procesos Soporte, Operaciones y Desarrollo ubicados en la nube Microsoft Azure para las soluciones ofrecidas por Aranda Software en modalidad SaaS y debe ser cumplido por toda la organización.
Todos los colaboradores y demás partes interesadas que gestionan usan o acceden a los activos de información de Aranda Software.
La presente política rige a partir del (28/12/2023) fecha en que fue aprobada, debe ser revisada anualmente o actualizarse en el momento en que existan modificaciones en el propósito o contexto de la organización, en el alcance del Sistema de Gestión de Seguridad de la Información o cuando existan cambios legales, estatutarios o reglamentarios; y se debe hacer seguimiento al cumplimiento de las disposiciones aquí contenidas.
Activo: Cualquier elemento que tiene valor para la organización. para la gestión de riesgos de seguridad de la información se consideran los siguientes tales como: la información, el software, elementos físicos, los servicios, las personas e intangibles.
Confidencialidad: Propiedad de la información que hace que no esté disponible o que sea revelada a individuos no autorizados, entidades o procesos.
Disponibilidad: Propiedad de ser accesible y utilizable ante la demanda de una entidad autorizada. [Fuente: ISO 27000].
Importancia del activo: Valor que refleja el nivel de protección requerido por un activo de información frente a las tres propiedades de la seguridad de la información: integridad, confidencialidad y disponibilidad.
Integridad: Propiedad de precisión y completitud. [Fuente: ISO 27000].
Monitoreo: Verificación, supervisión, observación crítica o determinación continua del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado.
Parte involucrada: Persona u organización que puede afectar, verse afectada o percibirse a sí misma como afectada por una decisión o una actividad. Una persona que toma decisiones puede ser una parte involucrada. [Fuente: ISO 31000].
Riesgo: Efecto de la incertidumbre sobre los objetivos. Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos. Los objetivos pueden tener aspectos diferentes (económicos, de imagen, medio ambiente) y se pueden aplicar a niveles diferentes (estratégico, operacional, toda la organización) [Fuente: ISO 31000]
Alta Gerencia: Definición, publicación, comunicación e implementación de la Política General de Seguridad de la Información.
Líderes de Proceso: Liderando la implementación y adopción en sus procesos, de la Política General de Seguridad de la Información.
Collaborators and other interested parties: Adopting and complying with the guidelines contained in the General Information Security Policy.
Terceros y/o cadena de suministro: Adoptando y dando cumplimiento a los lineamientos contenidos en la Política General de Seguridad de la Información expedida por Aranda Software dentro de este documento.
La normatividad aplicable a la presente política pude ser consultada en el Normograma del Sistema de Gestión de Seguridad de la Información – SGSI.
The purpose of this document is to describe the General Policy of the Information Security Management System - ISMS, in accordance with the international framework NTC ISO 27001 and other national and international provisions regarding the principles of information security (integrity, confidentiality and availability).
The application of the Policy should seek to protect the information assets of Aranda Software against any threat that affects the three pillars of information.
Considering that information security must remain in constant evolution, since organizations face persistent and new threats according to technological changes and the conditions of their environment, the Information Security Management System must adapt to this situation.
By virtue of the above, policies require permanent review, updating, approval and adaptation to achieve the purpose of continuous improvement.
Aranda Software aware of the importance of information security and considering it as a fundamental factor that must be incorporated into its processes and institutional mission, is committed to preserving the confidentiality, integrity and availability of information through the implementation and continuous improvement of the Information Security Management System - ISMS, monitoring the fulfillment of the objectives, implementing strategies, controls and guidelines that allow to adequately manage its assets, risks and incidents of information security and allocating the necessary resources to ensure compliance with legal requirements, organizational and contractual obligations in relation to the handling and / or processing of information.
La organización se compromete a considerar los posibles impactos del cambio climático en la seguridad de la información, integrando criterios de sostenibilidad y resiliencia en la gestión de riesgos del SGSI.
Promotes among its collaborators and other related persons, the formation of an information security culture, which allows the effective adoption of controls and good security practices designed within the organization.
- To reduce the probability of materialization of risks associated with information security, which may violate the confidentiality, integrity and availability of information, by means of adequate risk management.
- Concientizar a los colaboradores sobre la importancia de proteger los activos de información, mediante capacitaciones en temas relacionados con seguridad de la información, de manera que se pueda evidenciar el cumplimiento de políticas, procedimientos y demás lineamientos diseñados en el marco de gestión del SGSI.
- Garantizar la atención oportuna de los incidentes de seguridad de la información, implementando un procedimiento eficaz para la identificación, reporte y tratamiento de los mismos.
- Address in a timely manner corrective actions and observations issued by follow-ups, internal/external audits and planned reviews.
Provide the financial, human and infrastructure resources required to maintain the Information Security Management System - ISMS and ensure adequate treatment of risks in Aranda Software.
Todos los colaboradores y en general todas las partes interesadas identificadas en el Sistema de Gestión de Seguridad de la Información de Aranda Software, deberán dar cumplimiento al 100% de la política.
Failure to comply with this policy and the provisions contained herein may lead to disciplinary actions, investigations and / or legal actions, according to the internal procedures of Aranda Software and other guidelines applicable to the organization.
NTC ISO 27001:2022
- ISMS Objectives
- ISMS Scope