• Introducción

En cumplimiento y aplicación de buenas prácticas relacionadas con la seguridad y privacidad de los datos en Tinysoft, por medio de directrices, lineamientos, procesos y procedimientos que permitan garantizar la disponibilidad, integridad, confidencialidad, seguridad y privacidad de los datos.

  • Objetivos

Minimizar los riesgos (Ataques, amenazas, vulnerabilidades) que atenten contra la confidencialidad, integridad, disponibilidad seguridad y privacidad de los datos de Tinysoft, aliados, y clientes, actuales y potenciales.

Este documento define la directriz de establecer indicadores que permita de manera general evaluar el cumplimiento de directrices relacionados con y los datos para la seguridad de estos.

  • Rango

Esta política de seguridad y privacidad de datos se aplica a todos los empleados, prestadores de servicios, proveedores y vendedores que tengan un vínculo o relación con Tinysoft distinto al de cliente. 

  • Referencias

Políticas y estándares relacionados con la presente política:

  1. Norma ISO/IEC 27001:2022
  2. GPRD /RPGD Reglamento General de Protección de Datos

 

  • Definiciones/Glosario de Términos 
  • Activo: Es un dato que tiene valor para Tinysoft y que está definido para apoyar las estrategias de negocio.
  • Amenaza: Hecho que puede producir un daño provocado por un evento a la seguridad y privacidad de los datos de Tinysoft.
  • Auditoría: Práctica de buen gobierno que permite identificar el nivel de cumplimiento y adherencia dentro de Tinysoft. a las normas, principios o buenas prácticas de la disciplina que se está analizando.
  • Confidencialidad: Significa que a los datos y a los sistemas solo accedan personas debidamente autorizadas. Y que la información por su sensibilidad no debe ser compartida ni divulgada a personas no autorizadas.
  • Disponibilidad: Significa que la información y los sistemas pueden ser utilizados en la forma y tiempo requeridos por una entidad autorizada.
  • Evento: Suceso repentino que puede generar alguna afectación o alerta sobre las fuentes de los datos (Sistema de información, base de datos, instrumentos, formularios, entre otros).
  • Indicador: Se refiere a la exactitud de los datos y de las fuentes de datos contra alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta.
  • Integridad: Significa exactitud de la información y de los sistemas contra alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta.
  • Riesgo: Probabilidad de ocurrencia de un evento de seguridad y privacidad de los datos.
  • Seguridad: Preservación de la confidencialidad, la integridad, la disponibilidad y la privacidad de los datos; además, puede involucrar otras propiedades tales como: autenticidad, trazabilidad, no repudio y afinidad de estos.
  • Privacidad: Significa el derecho que tienen todos los titulares de los datos en relación con lo personal y clasificado que estos hayan entregado o estén en poder de Tinysoft.

 

  • Roles y Responsabilidades

Este apartado describe cada uno de los roles y sus funciones o responsabilidades frente a la seguridad y privacidad de los datos e información dentro de Tinysoft:

Oficial y/o director de seguridad y privacidad de los datos:

Es responsable de:

  • Definir, actualizar y mantener las políticas y procedimientos de seguridad y privacidad de los datos en Tinysoft. a nivel institucional o general.
  • Supervisar, monitorear y velar por el cumplimiento de las políticas y procedimientos de seguridad de los datos.
  • Establecer, actualizar, mantener y supervisar la gestión y resolución de riesgos e incidentes de seguridad y privacidad de los datos.
  • Definir, actualizar, mantener e implementar el programa de concienciación, concientización y sensibilización de seguridad de los datos.
  • Establecer, actualizar, mantener y velar por el cumplimiento de los indicadores que permitan medir la efectividad de los controles y directrices para la protección de los datos en Tinysoft.
  • Definir, actualizar, mantener y velar por la ejecución y cumplimiento del Plan de Tratamiento de Riesgos (PTR) para los datos.

Oficial y/o director de seguridad de la información:

Es responsable de:

  • Verificar el cumplimiento de la política de seguridad de la información y los datos.
  • Velar por la actualización y mejora continua de la política de información y los datos.
  • Establecer los indicadores que permita medir la efectividad de los controles y directrices para la protección de la información y los datos en Tinysoft. 
  • Velar por el cumplimiento de las directrices a través de la efectividad de indicadores de gestión con respecto a la seguridad de la información y los datos de Tinysoft.
  • Generar y/o establecer un tratamiento adecuado de la información y los datos en Tinysoft.
  • Establecer una gestión e identificación de riesgos de la información y los datos.

Participar y apoyar en la ejecución y cumplimiento del Plan de Tratamiento de Riesgos (PTR) para los activos de información y los datos.

Oficial y/o director de seguridad informática:

Es responsable de:

  • Establecer estrategias mediante soluciones tecnológicas que permita la identificación temprana de riesgos, amenazas, vulnerabilidades y demás brechas que atenten contra la protección de los activos (Datos, Repositorios, sistemas de información, servicios tecnológicos) en Tinysoft.
  • Asegurar la implementación, configuración y puesta en marcha de las soluciones y estrategias para proteger los activos (Datos, Repositorios, sistemas de información, servicios tecnológicos) en Tinysoft.
  • Garantizar los mecanismos y controles de seguridad de los activos (Datos, Repositorios, sistemas de información, servicios tecnológicos) en Tinysoft.
  • Analizar y evaluar las tendencias de tecnologías que mitiguen la evolución de amenazas, riesgos y demás vulnerabilidades contra los activos Datos, Repositorios, sistemas de información, servicios tecnológicos) de Tinysoft.
  • Definir, documentar, actualizar, mantener y supervisar los indicadores que permita medir la efectividad de los controles y directrices de la seguridad informática en Tinysoft.

Oficial y/o director de ciberseguridad:

Es responsable de:

  • Establecer estrategias orientadas a la protección de activos como la información y los datos que surjan de la interoperabilidad e integración del entorno interno en Tinysoft con el exterior (Ciberespacio: Nube, Internet, APIs, etc.)
  • Garantizar los controles y directrices para proteger los activos como la información y los datos que se intercambie con los escenarios del ciberespacio.
  • Establecer, documentar, actualizar, mantener y asegurar indicadores de cumplimento a las directrices y/o lineamientos de ciberseguridad orientados a proteger los activos de los datos.

Encargado de gestión de accesos:

Es responsable de:

  • Analizar y evaluar los requerimientos y/o solicitudes de accesos a los sistemas de información y servicios tecnológicos de la ESPOL.
  • Documentar, actualizar y mantener los procesos y procedimientos de gestión de accesos a los sistemas de información (Repositorios, bases de datos, entre otros) y servicios tecnológicos de la ESPOL.
  • Garantizar, asegurar y controlar los accesos a los sistemas de información (información, datos, bases de datos, repositorios, aplicaciones, entre otros) y servicios tecnológicos de la ESPOL
  • Definir, controlar, mantener los roles, perfiles y/o responsables autorizados para el acceso a sistemas de información (información, datos, bases de datos, repositorios, aplicaciones, entre otros) y servicios tecnológicos de la ESPOL. 
  • Directrices y Lineamientos de la Política

Sus datos serán almacenados y conservados por Tinysoft por el tiempo estrictamente necesario para el cumplimiento de las funciones delineadas en el consentimiento informado del momento de su recolección. 

  • Clasificación de los Datos

Los datos de Tinysoft deben clasificarse en niveles que respondan a una organización y gobernabilidad de tal manera que su divulgación deba ser tenida en cuenta según esta clasificación:

  • Reservada o Sensible: Información o datos sensibles e interna a la cual debe tener acceso controlado exclusivamente por quien necesariamente deba acceder a ella para el cumplimiento de sus funciones, y en todo caso solo para dicho propósito. Debe ser protegida por su impacto en los intereses de Tinysoft, sus clientes, asociados y colaboradores. Su uso inapropiado podría causar daños a la imagen del negocio, a los clientes e incluso a terceros, por lo que Tinysoft deberá limitar, lo máximo prácticamente posible, el acceso a esta información.
  • Confidencial: Información o datos de alta sensibilidad que debe ser protegida por su relevancia. Estos datos e información deben ser accedida sólo por personas que tengan una necesidad específica de conocerla o usarla por sus funciones. Se deberán utilizar controles de encriptación para protegerla tanto en su almacenamiento como en su uso.
  • Privada (Uso Interno): Información o datos que, sin ser reservada ni confidencial, debe mantenerse en el ámbito interno de Tinysoft y no debe estar disponible externamente, excepto a terceras partes involucradas, previo acuerdo de confidencialidad y conocimiento del propietario de esta.
  • Pública: Información o datos de uso común para Tinysoft. en general. Debe ser expuesta y de conocimiento para todos los colaboradores. Esta información no está sujeta a ningún tipo de tratamiento especial.

 

  • Etiquetado de los Datos
  • Definir una nemotecnia con base en la clasificación y aplicar de manera adecuada para la búsqueda y/o consulta de los interesados en Tinysoft.
  • Definir un listados o inventario que permita una consulta eficiente de la forma en que está estructurada la data
  • Mantener, actualiza y supervisar el modelo etiquetado definido por Tinysoft. 
  • Generar indicadores de cumplimiento para mantener la metodología definida de etiquetado.

 

  • Gestión de Riesgos e Incidentes de Seguridad y Privacidad de los Datos 
    • Establecer, actualizar y mantener una gestión riesgos e incidentes de seguridad y privacidad relacionados con los datos y su ejecución apoyado en procedimientos definidos para una adecuada administración, tratamiento y solución de estos. 
    • Realizar continuamente auditorías que permitan identificar riesgos e incidentes de seguridad y privacidad con los datos de Tinysoft, por lo menos una vez al año y apoyado en un análisis sobre los sistemas de Tinysoft, que hacen uso, tratamiento y almacenamiento de datos; en donde se incluya:
      • Procedimientos de control para cambios en los sistemas, aplicaciones y recursos de Tinysoft
      • Plan de continuidad y recuperación ante desastres para los datos de Tinysoft
    • No publicar nada que pueda poner en peligro la seguridad y privacidad de los datos de Tinysoft o sus clientes, actuales o potenciales.
    • Hacer validaciones de pares con respecto a la gestión de accesos (perfiles y permisos) que se conceden a los datos a través de los diferentes sistemas de información.
    • Hacer uso de un canal regulado para reportar entre los responsables sobre los incidentes y riesgos de los datos con el fin de formalizar los eventos ocurridos y darle un adecuado proceso.
    • Generar reportes de los eventos de seguridad y privacidad de los datos identificados y la manera como fueron gestionados.
    • Realizar reportes sobre la identificación de debilidades que ponen en riesgo los datos de Tinysoft,
    • Documentar las respuestas a incidentes de seguridad y privacidad de los datos de Tinysoft.
    • Documentar la evaluación, análisis y decisiones que se realizan con respectos los riesgos e incidentes de la seguridad y privacidad de los datos de Tinysoft.
    • Diseñar, elaborar y gestionar una matriz de riesgos de los datos con el fin de llevar a cabo una administración tanto de riesgos e incidentes de seguridad de los datos.
    • Definir e implementar una herramienta para la gestión de los incidentes de la seguridad de los datos con los siguientes objetivos:
      • Detectar, informar y evaluar riesgos e incidentes de la Seguridad de los datos.
      • Responder a riesgos e incidentes de los datos.
      • Reportar vulnerabilidades.
      • Aprender de los incidentes de la Seguridad de los datos
      • Aplicar una metodología que conlleve a la resolución de riesgos e incidentes de los datos de la organización.
  • Todos los empleados, proveedores, prestadores de servicios, y vendedores de Tinysoft deben reportar y proteger los datos a los cuales se les ha concedido acceso y no realizar descargas de estos para elaborar, construir o desarrollar documentos que sirvan como fuentes para otras funciones o consultas.


  • Acceso a los Datos

El control de accesos a los datos debe ser controlado de manera centralizada y bajo un responsable en Tinysoft articulado y alineado con los procesos y procedimientos de Gestión de Accesos de Tinysoft. La solicitud de acceso a los datos debe estar directamente relacionado con la creación de usuarios y/o accesos a un sistema por medio del canal de requerimientos para la aprobación correspondiente del autorizante. Los perfiles y privilegios serán controlados y evaluados para el acceso de los datos en Tinysoft.

  • Directrices Complementarias

Todo equipo de cómputo corporativo y no corporativo de Tinysoft debe tener y contar con los mecanismos de seguridad informática (encriptado, antivirus corporativo instalado, y controles de acceso a páginas web maliciosas o sospechosas habilitadas y todos lo necesario si se requiere acceder desde afuera a la institución. 

Todos los empleados, prestadores de servicios, proveedores y vendedores de Tinysoft. deben proteger la información que se encuentre en medios físicos o digitales: USB, disco duro externo, DVD, Blu-ray, laptop, celular, tabletas, entre otros.

Los datos personales (de bases de datos de potenciales clientes, de clientes actuales, de empleados, de vendedores, etc.) deben estar debidamente protegidos en todos los ambientes dónde residan, a fin de reducir los riesgos asociados a accesos indebidos, mal uso o divulgación no autorizada, etc.

Divulgar y capacitar sobre Seguridad de los datos (proveedores, vendedores, prestadores de servicio y empleados), como parte de un Programa de Sensibilización, concienciación, concientización, el cual es de carácter obligatorio.

Se deberán realizar copias de respaldo de la información del negocio de forma periódica, a fin de minimizar la pérdida de información crítica ante alguna contingencia o incidencia.