Copyright © 2025 Computer Systems Solutions. Todo los Derechos Reservados.
CORPORACION COMPUTER SYSTEMS SOLUTION S.A.C. depende de los sistemas de Tecnologías de Información y Comunicaciones (TIC) para alcanzar sus objetivos. La administración de estos sistemas debe ser realizada con diligencia, implementando las medidas adecuadas para resguardarlos contra posibles daños accidentales o intencionales que puedan comprometer la disponibilidad, integridad o confidencialidad de la información manejada y los servicios proporcionados.
El propósito de la seguridad de la información es asegurar la calidad de los datos y la continuidad en la prestación de los servicios, adoptando un enfoque preventivo, supervisando las actividades diarias y actuando con prontitud y diligencia ante cualquier incidente.
Los sistemas TIC deben estar protegidos contra amenazas en constante evolución que podrían afectar la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para contrarrestar estas amenazas, es esencial contar con una estrategia adaptable a los cambios en el entorno para garantizar la continuidad de los servicios. Esto implica que los distintos departamentos deben seguir las medidas de seguridad mínimas establecidas por la norma ISO 27001:2022, además de monitorear de manera constante los niveles de servicio, analizar las vulnerabilidades reportadas y estar preparados para responder de manera efectiva a los incidentes y garantizar la continuidad de los servicios.
Cada departamento debe asegurarse de que la seguridad TIC sea una parte esencial en cada etapa del ciclo de vida del sistema, desde su concepción hasta su retiro, pasando por las decisiones de desarrollo o adquisición y las operaciones diarias. Los requisitos de seguridad y las necesidades financieras deben ser identificados e incorporados en la planificación, las solicitudes de propuestas y los documentos de licitación para proyectos TIC.
Los departamentos deben estar preparados para prevenir, detectar, responder y recuperarse de incidentes de acuerdo con las regulaciones de seguridad correspondientes.
CORPORACION COMPUTER SYSTEMS SOLUTION S.A.C. (CCSS) es una empresa de Consultoría de Tecnología de la Información (TI), dedicada a brindar servicios de Desarrollo de Aplicaciones Services, Data Analytics, Transformación Digital, Automatización, Testing de Calidad e Infraestructura Cloud. Mantenemos el firme propósito de posicionarnos como el socio estratégico ideal de nuestros clientes, para enfrentar los desafíos tecnológicos, mediante soluciones disruptivas e innovadoras que garanticen el logro de los objetivos y generen valor al negocio.Definiciones:
a. Seguridad de la Información: Conjunto de medidas, políticas, procedimientos y tecnologías diseñadas para proteger la confidencialidad, integridad y disponibilidad de la información contra amenazas internas y externas.
b. Activo de Información: Cualquier elemento o recurso que posea valor para la organización, incluyendo datos, sistemas, hardware, software y documentos, cuya protección es esencial para el funcionamiento y los objetivos de la empresa.
c. Vulnerabilidad: Debilidad en un sistema, proceso o activo de información que podría ser explotada por amenazas para comprometer su seguridad. Las vulnerabilidades aumentan el riesgo de sufrir incidentes de seguridad.
d. Riesgo de Seguridad de la Información: Probabilidad de que una amenaza explote una vulnerabilidad, resultando en un impacto no deseado en los activos de información. Se mide en términos de probabilidad e impacto.
e. Control de Acceso: Medidas y mecanismos utilizados para garantizar que solo las personas autorizadas tengan acceso a los activos de información, protegiendo así la confidencialidad, integridad y disponibilidad.
f. Política de Seguridad de la Información: Documento que establece los principios, directrices y objetivos generales para gestionar y proteger la información de manera coherente en toda la organización.
g. Incidente de Seguridad de la Información: Evento que pone en peligro la confidencialidad, integridad o disponibilidad de los activos de información, y que puede requerir una respuesta para mitigar sus efectos.
h. Auditoría de Seguridad de la Información: Evaluación sistemática de los controles y procedimientos de seguridad de la información para determinar si se están aplicando efectivamente, identificar vulnerabilidades y garantizar el cumplimiento de las políticas y regulaciones.
Proteger los activos de información de la empresa, asegurando para ello la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información y de las instalaciones, sistemas y recursos que la procesan, gestionan, transmiten y almacenan, siempre de acuerdo con los requerimientos del negocio y la legislación vigente. Mediante la Política de Seguridad de la Información se define los lineamientos y medidas a tener en cuenta para gestionar los riesgos de seguridad de la información sobre los activos de información, los procesos y actividades del negocio.
Esta Política de Seguridad de la Información es aplicable a todos los activos de información de la empresa, así como a todos los procesos, actividades de negocio y a todas las personas que directa o indirectamente prestan algún servicio para la organización. Por lo tanto, el alcance del Sistema de Gestión de Seguridad de la Información engloba los sistemas de información qué soportan los procesos para servicios de Desarrollo de Aplicaciones Services, Data Analytics, Transformación Digital, Automatización, Testing de Calidad e Infraestructura Cloud.
El objetivo consiste en establecer las políticas, prácticas y lineamientos que permitan a la organización garantizar la adecuada protección de todos sus activos de información y prevenir la materialización de riesgos que puedan afectar su confidencialidad, integridad y disponibilidad. Asimismo, se proponen los siguientes objetivos específicos:
a.Reducción de Incidentes de Seguridad en un 20% en el Primer Año: Implementar medidas de seguridad proactivas y reactivas para reducir la cantidad de incidentes de seguridad, como brechas de datos, intrusiones y malware, en un 20% durante el primer año de implementación del sistema.
b. Cumplimiento del 100% con Normativas de Seguridad Relevantes: Garantizar el cumplimiento del 100% de las normativas y estándares de seguridad relevantes para la industria, como la norma ISO/IEC 27001, en un plazo de dos años.
c. Mejora de la Conciencia de Seguridad en un 25% en Seis Meses: Desarrollar y ejecutar programas de formación en seguridad de la información para los empleados y usuarios, con el objetivo de aumentar su conciencia sobre las mejores prácticas de seguridad en un 25% en un plazo de seis meses.
d. Tiempo Promedio de Recuperación de Incidentes Reducido a Menos de 4 Horas: Establecer procedimientos de respuesta a incidentes más eficientes y realizar simulacros regulares para reducir el tiempo promedio de recuperación de incidentes de seguridad a menos de 4 horas en un año.
La seguridad de la información es fundamental para el éxito de nuestra empresa y confianza de nuestros clientes. Por lo tanto, esta Política de Seguridad de la Información elaborada en base a la Norma ISO 27001:2022 establece nuestros principios y directrices para garantizar la confidencialidad, integridad y disponibilidad de la información que manejamos. Razón por la cual nos comprometemos a:
Esta política será revisada anualmente o cuando cambien las circunstancias relevantes. La alta dirección supervisará y autorizará los cambios necesarios para garantizar su pertinencia y eficacia. Esta política proporciona un marco de referencia para el establecimiento de objetivos del SGSI, será difundida permanentemente a todos los empleados, contratistas, proveedores y terceros relevantes de la empresa; asimismo, estará disponible para el acceso público y será revisada convenientemente para asegurar su plena vigencia.
