- Introducción
La Política General de Seguridad de la Información (la “Política”) enuncia las pautas generales destinadas a preservar la confidencialidad, integridad y disponibilidad de la información con la finalidad de proteger la información, los equipos y servicios tecnológicos que sirven de soporte a los procesos de negocios de Forcada & Rodriguez Abogados Asociados SLP (“FYR Legal” o la “Empresa”)
La seguridad de la información (“Seguridad de la Información” o “IS”) hace referencia a los siguientes componentes:
- Confidencialidad. La información solo será accesible por personas autorizadas y se mantiene protegida contra accesos o divulgación no autorizada.
- Integridad. Proteger la exactitud y totalidad de la información de alteraciones no autorizadas o inapropiadas, asegurando que los datos sean fiables y exactos.
- Disponibilidad. La información y los recursos deben estar disponibles y accesibles para los usuarios autorizados que lo necesiten, garantizando la continuidad de las operaciones y servicios.
- Trazabilidad. Todas las actividades, eventos y transacciones que ocurren en el sistema de información deben ser registrados y tener la capacidad de seguir el rastro de las gestiones realizadas.
Asimismo, se tomarán en consideración otros elementos para la seguridad de la información tales como autenticación de los usuarios y no repudio. Todos estos componentes se ponen en acción a través de controles que incluyen políticas, procedimientos, lineamientos o buenas prácticas para gestionar la seguridad de la información.
- El objetivo principal de esta Política es definir los principios y lineamientos generales para la adecuada gestión de la seguridad de la información.
- Cumplir con la normativa de aplicación para la Empresa en el desarrollo de su actividad.
- Garantizar la minimización de riesgos derivados de un impacto provocado por una gestión ineficaz de la seguridad de la información.
- Alinear la seguridad de la información con los requerimientos de los negocios.
Esta Política es aplicable para todo el personal directivo, empleados, becarios, colaboradores y proveedores que tengan acceso a sistemas de información y datos personales de FYR Legal (los “Usuarios”) abarca todos los activos de información existentes en FYR Legal que actúan como infraestructura de soporte de sus procesos de negocios.
Esta Política debe ser conocida, comprendida y asumida por todos los Usuarios.
- Principios de la Política de Seguridad de la Información.
Esta Política se desarrolla para dar un marco de cumplimiento basado en las mejores prácticas de IS y para dar cumplimiento a la legislación vigente en el ámbito de la seguridad de la información y la protección de los datos personales que puedan afectar a FYR Legal. En virtud de que en esta Política posiblemente no se podrán considerar todos los casos, se establecen principios básicos a considerar en cualquier situación que implique tratamiento de información, por lo tanto, los siguientes principios deberán servir como guía:
- Enfoque basado en riesgos. Se deben identificar, evaluar y gestionar los riesgos de seguridad de la información de manera proactiva. Las medidas de seguridad se implementarán de acuerdo con la evaluación de riesgos, con el objetivo de mitigar o aceptar riesgos de manera informada y documentada debiendo realizarse procesos de evaluación continua de estos riesgos.
- Cumplimiento legal y regulatorio. La seguridad de la información se llevará a cabo en concordancia con las normativas y regulaciones aplicables relacionadas con la seguridad de la información y la protección de datos personales.
- Prevención. Adoptar medidas proactivas para evitar incidentes de seguridad, minimizando riesgos y protegiendo la integridad y disponibilidad de la información y la protección de los datos personales.
- Responsabilidad organizativa. La alta dirección asume la responsabilidad de liderar la seguridad de la información, no obstante, la seguridad de la información es tarea de todos. Los Usuarios dependiendo de sus roles de prevenir y detectar posibles amenazas a los sistemas de información.
- Cultura de seguridad. Se fomentará una cultura de seguridad de la información en toda la Empresa a través de la concienciación, la formación y la promoción de las mejores prácticas de seguridad entre los Usuarios.
- Protección de datos personales. Se protegerá de manera rigurosa los datos personales que trate la Empresa en su rol de responsable y encargado de tratamiento, cumpliendo con las regulaciones aplicables para la privacidad y protección de datos personales.
- Seguridad desde el diseño y por defecto. Los sistemas que FYR Legal diseñe y desarrolle deberán configurarse desde el inicio con una perspectiva de seguridad que garantice un grado suficiente de seguridad y protección de datos personales por defecto, incluyendo los cambios y actualizaciones que correspondan.
- Segregación de funciones. Se implementará una segregación de funciones para prevenir conflictos de intereses y reducir riesgos asociados a accesos no autorizados.
- Detección. Implementar mecanismos para identificar y registrar eventos de seguridad, permitiendo la rápida identificación y respuesta a incidentes para minimizar su impacto.
- Contingencia y continuidad. Se establecerán planes de contingencia y continuidad del negocio para garantizar que la Empresa pueda mantener sus operaciones en caso de interrupciones inesperadas.
- Monitorización y auditoría. Se implementarán sistemas de monitorización y auditoría para supervisar el cumplimiento de las políticas y detectar incidentes de seguridad de manera temprana.
- Mejora continua. Se realizarán revisiones periódicas de esta Política y los procesos de negocios para mejorar y optimizar la gestión de la seguridad de la información.
- Compromiso de la Alta Dirección.
La dirección de FYR Legal reconoce la importancia crítica de la seguridad de la información para alcanzar los objetivos de negocios y garantizar la sostenibilidad de la Empresa. En este sentido, se compromete firmemente a promover y respaldar las buenas prácticas de seguridad de la información y privacidad y protección de datos personales.
- Conformidad con los requisitos legales.
FYR Legal dará cumplimiento a la normativa aplicable en materia de seguridad de la información y protección de datos personales, así como otra normativa vinculada (e.g. delitos informáticos, derechos de autor, leyes laborales, criptografía, etc.) comprometiéndose a dotar al responsable de seguridad de la información de los recursos necesarios para dar cumplimiento a la legislación y regulación aplicable.
- Gestión de excepciones.
Cualquier excepción a esta Política deberá ser autorizada y registrada por el responsable IS.
- Consultas, inquietudes, denuncias y sanciones disciplinarias.
Todos los Usuarios que tengan dudas o consultas sobre esta Política y su aplicación pueden comunicarlo a través de correo electrónico sgsi@fyrlegal.com
Asimismo, en el caso de que detecten incumplimientos a lo establecido en esta Política pueden informarlo a responsable del Seguridad de la Información de FYR Legal. Pudiendo también informar de forma anónima a través del Sistema Interno de Información de la Empresa.
Cualquier violación de esta Política podrá resultar en sanciones disciplinarias. Es responsabilidad de todos los Usuarios notificar al responsable IS de cualquier evento o situación que pueda presumir el incumplimiento de algunos de los principios establecidos en esta Política.
- Revisión de la Política.
- Esta Política ha sido aprobada por la Dirección de FYR Legal y cuenta con todo el apoyo de la alta dirección para su implementación y cumplimiento.
- Se desarrollarán controles internos para hacer seguimiento del nivel de eficacia y cumplimiento de los términos establecidos en esta Política.
- Deberán realizarse autoevaluaciones de los sistemas de información en forma periódica, y al menos una vez al año.
- Se realizarán test de vulnerabilidades y auditorías de seguridad a cargo de entidades externas confiables.
- Comunicación de esta Política
Esta Política es objeto de comunicación y difusión para todos los Usuarios de los Sistemas de Información de FYR Legal, así como de acciones periódicas de concienciación para reforzar la cultura de seguridad.
- Entrada en vigor
Texto aprobado por la Dirección General el 1 de julio de 2024.