1.Introducción

En agenciadecalidad.com, la seguridad de la información y la protección de los datos de nuestros clientes, colaboradores y usuarios son fundamentales. Esta Política de Ciberseguridad establece el marco para garantizar la integridad, confidencialidad, disponibilidad y cumplimiento normativo en todos nuestros procesos digitales.


2.Propósito y Alcance

El objetivo principal de esta política es minimizar los riesgos de seguridad en nuestros sistemas, proteger la información contra accesos no autorizados y garantizar el cumplimiento de las normativas vigentes. Se aplica a todos los empleados, colaboradores, proveedores y terceros que interactúan con los sistemas, datos y plataformas digitales de agenciadecalidad.com.

3. Principios de Ciberseguridad

Para fortalecer la seguridad de la información, se establecen los siguientes principios:

  • Confidencialidad: La información solo estará disponible para quienes tengan autorización expresa.
  • Integridad: Se garantizará la precisión y fiabilidad de los datos mediante controles y auditorías.
  • Disponibilidad: Se implementarán medidas para evitar interrupciones en los servicios y accesos.
  • Autenticidad: Los datos e identidades serán verificados para evitar fraudes y accesos indebidos.
  • Trazabilidad: Se mantendrán registros de acceso y actividad para garantizar el control y detección de incidentes.

4. Clasificación de la Información

Toda la información manejada por agenciadecalidad.com se clasifica en diferentes niveles según su sensibilidad:

  • Información Pública: Datos accesibles sin restricciones, como contenido del sitio web.
  • Información Interna: Datos utilizados en operaciones internas, accesibles solo por empleados autorizados.
  • Información Confidencial: Datos críticos, como credenciales de acceso y bases de datos.
  • Información Restringida: Información de alto riesgo, como datos personales y financieros de clientes.


Se implementarán controles para garantizar que cada tipo de información sea manejado conforme a su clasificación.


5. Medidas de Seguridad Implementadas

5.1 Protección de la Infraestructura

  • Uso de firewalls, sistemas de detección de intrusos (IDS/IPS) y cifrado de datos.
  • Monitorización de actividad para detectar comportamientos sospechosos o accesos no autorizados.
  • Implementación de copias de seguridad periódicas y planes de recuperación ante incidentes.


5.2 Gestión de Accesos y Autenticación

  • Aplicación de controles de acceso basados en roles (RBAC).
  • Uso de doble autenticación (2FA) para accesos críticos.
  • Políticas de contraseñas seguras y caducidad periódica.


5.3 Seguridad de Datos y Cumplimiento Normativo

  • Garantía de cumplimiento con el Reglamento General de Protección de Datos (GDPR).
  • Encriptación de información confidencial almacenada y en tránsito.
  • Evaluaciones continuas para asegurar el cumplimiento de normativas de ciberseguridad.


5.4 Seguridad en el Desarrollo Web

  • Aplicación de metodologías Secure Coding para evitar vulnerabilidades en el código.
  • Uso de análisis de código estático y dinámico para identificar fallos de seguridad.
  • Pruebas de penetración regulares para detectar posibles amenazas.


5.5 Seguridad en Proveedores y Terceros

  • Evaluación de ciberseguridad en socios y proveedores antes de acceder a los sistemas.
  • Contratos con cláusulas específicas sobre la protección de datos y seguridad digital.
  • Monitoreo de actividades de terceros para evitar brechas de seguridad.


5.6 Normas de Seguridad para Dispositivos y Redes

  • Uso obligatorio de VPN y redes seguras para accesos remotos.
  • Restricción del uso de dispositivos no autorizados en redes internas.
  • Implementación de políticas de acceso segmentado según la función del usuario.


5.7 Seguridad en Correo Electrónico y Prevención de Phishing

  • Aplicación de filtros avanzados contra phishing, spam y malware.
  • Restricciones sobre la apertura de archivos adjuntos sospechosos.
  • Simulacros de ataques de phishing para concienciación del personal.


5.8 Mecanismos de Denuncia de Incidentes

  • Canal interno para reportar actividades sospechosas o posibles brechas de seguridad.
  • Protección de identidad para quienes reporten incidentes de manera responsable.
  • Evaluación inmediata de cada denuncia para mitigar riesgos.


6. Gestión de Incidentes y Respuesta a Crisis

En caso de incidente de seguridad, se seguirá el siguiente protocolo:

  • Detección y análisis: Identificación del incidente y evaluación del impacto.
  • Contención y erradicación: Aplicación de medidas correctivas para frenar el daño.
  • Recuperación: Restauración de los sistemas afectados y análisis post-incidente.
  • Informe y documentación: Registro del incidente y mejoras implementadas.


7. Auditoría y Control

Para garantizar la eficacia de la ciberseguridad, se realizarán auditorías internas y externas periódicas. Se revisarán las políticas y protocolos de seguridad para asegurar su actualización frente a nuevas amenazas.


8. Gestión de Continuidad del Negocio

  • Diseño de planes de contingencia ante ataques cibernéticos.
  • Procedimientos de respaldo y recuperación de datos para minimizar interrupciones.
  • Evaluación de riesgos y simulacros de respuesta ante incidentes graves.


9. Actualización y Cumplimiento de la Política

Esta política será revisada anualmente o tras incidentes críticos. Su cumplimiento es obligatorio para todos los empleados,