Vigencia: 24/02/2022 Versión: 1.

Elaborado por: Gerencia de Seguridad de la Información y Ciberseguridad

Revisado por: Dirección corporativa de Tecnologías de Información
Aprobado por: Comité de Seguridad de la Información y Ciberseguridad

POLÍTICA CORPORATIVA DE
SEGURIDAD DE LA INFORMACIÓN Y
CIBERSEGURIDAD

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 1

INDICE

1. OBJETIVO ........................................................................................................................ 3

2. ALCANCE ......................................................................................................................... 3

3. VIGENCIA Y REVISIÓN ................................................................................................... 3

4. REFERENCIAS INTERNAS ............................................................................................. 3

5. RESPONSABILIDADES ................................................................................................... 3

6. DEFINICIONES ................................................................................................................ 4

7. GOBERNANZA DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD ......... 6

8. GESTIÓN DE ACTIVOS DE INFORMACIÓN .................................................................. 7

9. GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Y

CIBERSEGURIDAD ................................................................................................................. 7

10. GESTIÓN DE IDENTIDADES Y CONTROL DE ACCESO .......................................... 8

11. CULTURA Y CONCIENTIZACIÓN ............................................................................... 9

12. SEGURIDAD EN LA GESTIÓN DE PERSONAS ........................................................ 9

13. SEGURIDAD EN LA GESTIÓN DE PROVEEDORES .............................................. 10

14. SEGURIDAD EN EL ENTORNO FÍSICO ................................................................... 10

15. SEGURIDAD EN LAS OPERACIONES, COMUNICACIONES Y SISTEMAS .......... 11

16. GESTIÓN DE INCIDENTES ....................................................................................... 13

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 2

 1. OBJETIVO

Asegurar la confidencialidad, integridad y disponibilidad de la información y de los

activos tecnológicos que la soportan pertenecientes a “Alicorp S.A.A.” y subsidiarias
(en adelante, "la Organización") en todos los países, en concordancia con sus
objetivos, valores y compromiso. Para alcanzar este objetivo se plantean los
siguientes objetivos específicos:

• Gestionar oportunamente los riesgos de Seguridad de la Información y

Ciberseguridad que pudiesen generar alguna consecuencia significativa para la
organización.
• Promover y aumentar la conciencia de la Seguridad de la Información y
Ciberseguridad.
• Garantizar un entorno seguro y estable para las distintas tecnologías dentro de la
organización.
• Monitorear los sistemas en busca de anomalías que puedan indicar un
compromiso.
• Gestionar oportunamente los eventos e incidentes de Seguridad de la
Información y Ciberseguridad que generen alguna consecuencia significativa
para la organización.

2. ALCANCE

La presente política aplica sobre todos los activos de información que se encuentran
bajo la responsabilidad de la Organización, incluyendo la gestionada o alojada por
terceros. Por lo tanto, su cumplimiento es obligatorio para todos los colaboradores y
terceros, que interactúan de una manera habitual u ocasional en el ciclo de vida de la
información (creación, procesamiento, transmisión, distribución, almacenamiento y
disponibilidad).

3. VIGENCIA Y REVISIÓN

El documento tendrá vigencia indefinida a partir de la fecha de aprobación, y debe ser

actualizada por lo menos una vez cada 2 años o cuando ocurran cambios
significativos en los procesos internos o en la normativa aplicable.

4. REFERENCIAS INTERNAS

a. Política Corporativa de Gestión de Riesgos.

b. Guía de compromisos Éticos.

5. RESPONSABILIDADES

Las responsabilidades sobre la ejecución de esta política son las siguientes:

Responsable Actividad
• Aprobar las políticas y lineamientos para la implementación de una
adecuada Gestión de Seguridad de la Información y Ciberseguridad,
incluyendo su mejora continua.
Alta Dirección
• Asignar los recursos técnicos, de personal, financieros requeridos para
(Gerencia
su implementación y adecuada Gestión de Seguridad de la Información
General,
y Ciberseguridad.
Vicepresidentes
• Aprobar la organización, roles y responsabilidades para la Gestión de
Corporativos)
Seguridad de la Información y Ciberseguridad, incluyendo los
lineamientos de difusión y capacitación que contribuyan a un mejor
conocimiento de los riesgos involucrados.

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 3

 Responsable Actividad

• Aprobar la política de Seguridad de la Información y Ciberseguridad.

• Brindar visibilidad respecto a los recursos de personal, técnicos y
financieros requeridos para la implementación de la estrategia de S.I. y
ciberseguridad.
Comité de
• Aprobar la estrategia, organización, roles y responsabilidades para la
Seguridad de la
estructura de Seguridad de la Información y Ciberseguridad.
Información y
• Realizar el seguimiento al cumplimiento de la planificación de las
Ciberseguridad
actividades de Seguridad de la Información y Ciberseguridad.
• Brindar directrices para la gestión de los riesgos de S.I.
• Aprobar y promover la estrategia de sensibilización en términos de
seguridad de la información y ciberseguridad para los colaboradores.
• Proponer el Plan estratégico corporativo de gestión de Seguridad de la
Información y Ciberseguridad e impulsar las iniciativas que lo soportan.
• Proponer las políticas y procedimientos Seguridad de la Información y
Gerencia de Ciberseguridad, así como sus respectivas actualizaciones, impulsando su
Seguridad de la difusión y adopción.
Información y • Informar al Comité de Seguridad de la Información sobre los riesgos que
Ciberseguridad enfrenta la ALICORP en materia de seguridad de información y
ciberseguridad.
• Evaluar las amenazas de seguridad en las estrategias de continuidad del
negocio y proponer medidas de mitigación de riesgos.
• Implementar y administrar las operaciones tecnológicas de acuerdo con
Dirección los lineamientos establecidos en las políticas y en la estrategia de
Corporativa de Seguridad de la Información y Ciberseguridad.
Tecnologías de • Promover y gestionar la asignación de recursos necesarios para mantener
Información (*) un nivel de control de seguridad de la información consistente con esta
política.
Vicepresidencia • Realizar la respuesta y recuperación ante incidentes de acuerdo con lo
Corporativa de establecido con la estrategia y planes de Ciberseguridad.
Supply Chain • Adoptar e implementar las políticas y procedimientos de Seguridad de la
Información y Ciberseguridad en el diseño de los controles tecnológicos.
• Aceptar, adoptar y cumplir la presente política y los procedimientos que
de esta deriven adoptándolas dentro de las actividades relacionadas con
Colaboradores su trabajo.
• Proteger los recursos tecnológicos y la información a la que tienen acceso
Proveedores para el desarrollo de sus actividades laborales.
• Informar cualquier situación que pueda comprometer la información
almacenada en los recursos informáticos asignados.
Auditoría Interna • Verificar el correcto cumplimiento de la presente política.

(*) No incluye a la Gerencia de Seguridad de la Información y Ciberseguridad, cuyas funciones se indican por
separado.

6. DEFINICIONES

Activo de Es cualquier información o sistema relacionado con el tratamiento de la misma

información que tenga valor para la organización, pueden ser procesos de negocio, datos,
aplicaciones, colaboradores, componentes tecnológicos, instalaciones, entre
otros. Es susceptible de ser atacado deliberada o accidentalmente con
consecuencias para la organización.
Alto privilegio Aquel que tiene acceso administrativo a los componentes tecnológicos.
Amenaza Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene
consecuencias negativas sobre los activos de información provocando su
funcionamiento incorrecto o pérdida de valor. Una amenaza puede tener
causas naturales, ser accidental o intencionada.

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 4

 Área crítica Ubicación física donde se procesa, almacena y/o transmite información
sensible de la organización, o red industrial donde se operan los Sistemas de
Control Industrial.
Ciberseguridad Protección de los activos de información mediante la prevención, detección,
respuesta y recuperación ante incidentes que afecten su disponibilidad,
confidencialidad o integridad en el ciberespacio; el que consiste a su vez en
un sistema complejo que no tiene existencia física, en el que interactúan
personas, dispositivos y sistemas informáticos.
Componente Hardware y software que soportan los procesos de negocio donde se procesa,
tecnológico almacena o transmiten datos. Por ejemplo, tecnologías de información (TI),
sistemas de control industrial (SCI) o equipos con internet de las cosas (IoT).
Confidencialidad Propiedad de la información, que garantiza que solo sea accesible por
aquellas personas autorizadas a tener acceso a la misma
Controles de Medidas, actividades o tecnologías implementadas que ayudan a reducir el
seguridad nivel de los riesgos.
Credencial Nombre de usuario y contraseña gestionados que dan acceso a los diversos
componentes tecnológicos.
Dato Hechos, eventos, transacciones, entre otros, que han sido registrados. Es la
entrada sin procesar de la cual se produce la información.
Derecho de Permiso de consulta, registro, cambio o baja en las distintas opciones y partes
acceso de los componentes tecnológicos otorgado a los usuarios.
Disponibilidad Propiedad de la información, garantiza que los usuarios autorizados tengan
acceso a la información y a los recursos relacionados con la misma, toda vez
que lo requieran.
Dispositivo Soportes de almacenamiento externos a los componentes tecnológicos. Por
extraíble ejemplo, discos ópticos (CD/DVD), memorias USB, tarjetas de memoria o
discos duros externos.
Dispositivo Equipos de cómputo de menor tamaño con capacidad de procesamiento,
móvil almacenamiento, transmisión y de conexión a internet. Por ejemplo,
teléfonos inteligentes, tabletas, relojes inteligentes, entre otros.
Documento Cualquier activo que sea puramente digital o que sea una representación
digital digital de un activo físico. Por ejemplo, informes, bases, bitácoras, manuales,
presentaciones, entre otros.
Documento Cualquier activo que sea puramente físico. Por ejemplo, actas, documentos
físico valorados, entre otros.
Equipo de Equipos de trabajo tradicionales y equipos portátiles como laptops.
cómputo
Evento Acontecimiento que cambiaría un conjunto particular de circunstancias y que
podrían tener un impacto en la organización.
Identidad Constituida por el conjunto de características propias de un usuario que le
permite ser reconocido en el entorno digital.
Impacto Magnitud del daño que se puede esperar como resultado de las
consecuencias adversas ocasionadas por las incidencias.
Incidente Evento que se ha determinado que tiene un impacto adverso sobre la
organización y que requiere de acciones de respuesta y recuperación.
Información Conjunto de datos que pueden ser procesados, distribuidos, almacenados y
representados en cualquier medio electrónico, digital, óptico, magnético,
impreso u otros, que son el elemento fundamental de los activos de
información.
Integridad Propiedad de la información, salvaguarda la exactitud y totalidad de la
información, activos asociados, y los métodos de procesamiento.
Malware Programa malicioso que realiza acciones dañinas en un equipo de cómputo
de forma intencionada y sin el conocimiento del usuario.
Medio digital Son cualquier medio codificado en un formato legible para una máquina,
como, por ejemplo, discos duros, cintas magnéticas, entre otros.
Plan de Representa la acción definida para mitigar el riesgo según el apetito de riesgo.
respuesta

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 5

 Principio de Brinda a un usuario los niveles (o permisos) de acceso mínimos necesarios
menor privilegio para desempeñar sus funciones laborales.
Privacidad Propiedad de la información, garantiza el manejo y tratamiento seguro de los
datos personales (información sobre una persona natural que la identifica o la
hace identificable) recolectados para un fin especifico y con el
consentimiento debido.
Probabilidad Posibilidad de que una determinada amenaza sea capaz de explotar una
determinada vulnerabilidad o un conjunto de vulnerabilidades.
Propietario de la Colaborador u organización externa que tiene la responsabilidad de controlar
información la producción, desarrollo, mantenimiento, uso y seguridad, de los activos de
información. El término no indica que la persona tenga en realidad derechos
de propiedad sobre el activo.
Red Crítica Segmento de red donde se procesa, almacena y/o transmite información
sensible dentro o fuera del perímetro digital de la organización; o segmento
de red industrial donde se operan los Sistemas de Control Industrial.
Resiliencia de Habilidad de una organización para perseguir su misión y aprovechar
las operaciones oportunidades, incluso en circunstancias no idóneas o adversas como un
incidente de seguridad.
Riesgos de Es la probabilidad de que una vulnerabilidad sea explotada por una amenaza
Seguridad de la generando un impacto para la organización.
Información y
Ciberseguridad
Suministros Conjunto de medios y elementos útiles para la generación, el transporte y la
eléctricos distribución de la energía eléctrica.
Tolerancia al El nivel de variación que la Organización está dispuesta a asumir en caso de
riesgo desviación respecto a los objetivos trazados
Vulnerabilidad Debilidad que expone a los activos de información ante amenazas que
pueden originar incidentes con afectación a los mismos activos de
información, y a otros de los que forma parte o con los que interactúa.

7. GOBERNANZA DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD

a. La Política Corporativa de Seguridad de la Información y Ciberseguridad se

encuentra alineada a los objetivos, cultura, valores y compromisos de la
organización, por lo que, a fin de garantizar el alineamiento continuo se debe
revisar y actualizar por lo menos una vez cada dos años o ante cambios
significativos en el contexto interno o externo, como, por ejemplo, cambios o
nueva legislación local, normativa interna, regulatoria, contractual, entre otros.

b. Se debe mantener un marco normativo estructurado que soporte las estrategias

de Seguridad de la Información y Ciberseguridad, garantizando su comunicación
y disponibilidad para toda persona que por su necesidad requiera acceder.

c. Los objetivos de Seguridad de la Información y Ciberseguridad deben ser

revisados y actualizados de manera anual, tomando en cuenta los resultados
obtenidos de las actividades planificadas, riesgos identificados, incidentes
presentados, nuevas técnicas o tácticas de amenazas o nuevos requisitos del
negocio.

d. La planificación para alcanzar los objetivos de Seguridad de la Información y

Ciberseguridad debe prever las actividades necesarias, recursos y competencias
requeridas, las responsabilidades para su ejecución, plazos para su culminación
y la medición del cumplimiento.

e. El monitoreo del cumplimiento de las políticas y controles de Seguridad de la

Información y Ciberseguridad implementados debe realizarse de forma periódica.

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 6

 f. Se deben realizar revisiones internas e independientes, por lo menos una vez
cada dos años, determinando las oportunidades de mejora, acciones correctivas
o preventivas, y manteniendo la información documentada como evidencia del
resultado tomado para la mejora continua.

8. GESTIÓN DE ACTIVOS DE INFORMACIÓN

a. Los activos de información deben ser identificados e inventariados, considerando

sus características las cuales pueden tipificarse como:

• Documentos físicos o digitales.

• Instalaciones o infraestructuras físicas.
• Colaboradores y proveedores.
• Aplicaciones internas y externas.
• Tecnologías de información y sistemas industriales.

b. Los activos de información deben ser clasificados en términos de su importancia

para la organización y considerando los principios de seguridad de la información
(confidencialidad, integridad y disponibilidad). Asimismo, deben ser tratadas de
acuerdo con su nivel de clasificación.

c. Todos los activos de información deben poseer un propietario, quién debe

determinar los accesos y los niveles de privilegio de los usuarios. Todos los
colaboradores y proveedores deben cumplir con las medidas de seguridad
establecidas por los propietarios de los activos y en función de la clasificación de
la información.

d. Las medidas de seguridad deben establecer los controles necesarios para la

protección de los datos durante su ciclo de vida, incluyendo su generación,
procesamiento, almacenamiento, compartimentaje, transmisión, uso y
destrucción.

e. Toda información que por su necesidad deba ser compartida y/o procesada con
usuarios u organizaciones externas debe realizarse asegurando el acceso
limitado solo a las personas autorizadas y para el fin previsto, a través de medios
aprobados. Toda entrega de información debe darse bajo acuerdos de
confidencialidad formalizados.

9. GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Y

CIBERSEGURIDAD

a. Se debe establecer y mantener en el tiempo el proceso de gestión de riesgos de

Seguridad de la Información y Ciberseguridad, el cual incluya las
responsabilidades de las partes interesadas, y permita la identificación, análisis,
evaluación, tratamiento, comunicación de los riesgos Seguridad de la Información
y Ciberseguridad, así como mecanismos de mejora continua del proceso.

b. El proceso de gestión de riesgos de Seguridad de la Información y Ciberseguridad

debe estar alineado y en concordancia con los criterios de la Gestión Corporativa
de Riesgos de la organización, asegurando que se produzcan resultados
consistentes, válidos y comparables.

c. El proceso de gestión de riesgos debe implementarse a toda la organización a

través de:

• Evaluaciones recurrentes realizadas a los activos de información más

relevantes que soportan los procesos de negocio.

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 7

 • Evaluaciones a demanda como resultado de emergentes o cambios
significativos, nuevas adquisiciones de productos y servicios, o nuevas
iniciativas de negocio, estratégicas y operativas.

d. Los criterios específicos de Seguridad de la Información y Ciberseguridad

utilizados durante el análisis, evaluación y tratamiento de los riesgos deben ser
revisados y validados por el Comité de Seguridad de la Información y
Ciberseguridad por lo menos una vez cada dos años o ante cambios significativos
en el contexto de la organización.

e. Todo riesgo de Seguridad de la Información y Ciberseguridad debe contar con un

tratamiento que ayude a reducir su nivel de exposición dentro de la tolerancia al
riesgo definido por la organización.

f. Cuando el tratamiento de los riesgos de Seguridad de la Información y

Ciberseguridad no resulte suficiente, se deben establecer e implementar planes
de respuesta que reduzcan a un nivel tolerable la exposición del riesgo.

g. Todo plan de tratamiento de riesgo debe contar con la aceptación formal del
propietario del riesgo y las actividades de tratamiento deben implementarse de
acuerdo con su planificación.

10. GESTIÓN DE IDENTIDADES Y CONTROL DE ACCESO

a. Toda identidad y credencial debe estar asociada a un usuario, quien será

responsable de las actividades y operaciones que se realicen a través de esta.
Las credenciales de uso genérico no deben emplearse salvo excepciones
justificadas que debido a la naturaleza y necesidad sean requeridas.

b. Todo derecho de acceso asociado a un identidad y credencial sobre los activos

de información debe considerar el principio de menor privilegio y la separación de
funciones, por lo que, debe reducirse al mínimo nivel posible para que permita el
desarrollo de las funciones requeridas y asignándose únicamente cuando exista
una necesidad justificada.

c. Todo acceso a los activos de información que se realice tanto en el entorno físico,
digital o inclusive de manera remota debe gestionarse oportunamente y debe
contar con los controles necesarios que eviten los accesos no autorizados.

d. Toda conexión entre redes internas, industriales y/o redes externas debe siempre
considerar el origen, destino, servicio, protocolo, justificación y autorización, no
debe permitirse las conexiones y accesos que cumplan con lo antes mencionado.

e. Se debe contar con un proceso para la emisión, gestión y revocación oportuna de

las credenciales y derechos de acceso, así mismo, estas deben ser verificadas y
auditadas regularmente.

f. Las credenciales que posean altos privilegios deben estar restringidas solo al
personal estrictamente necesario y habilitadas solo cuando exista una necesidad
y justificación explicita.

g. Todo componente tecnológico debe contar con una interfaz de autenticación que
permita la verificación de las identidades y credenciales. Así mismo, se debe
emplear como mecanismo de autenticación robusta las contraseñas seguras.
Cuando no exista factibilidad técnica se podrán implementar controles
compensatorios de igual o mayor efectividad.

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 8

 h. Las transacciones calificadas como críticas y cuyo acceso no autorizado pueda
generar efectos adversos significativos, de acuerdo con la factibilidad técnica
deben emplearse mecanismos de control adicionales a las contraseñas, como,
monitoreo de transacciones, factor adicional de autenticación, entre otros.
i. Ante la necesidad de accesos o conexiones temporales, estas deben ser
correctamente justificadas y autorizadas, señalando la vigencia de su habilitación
y se debe asegurar su retiro una vez cumplido su plazo.

j. Las redes de comunicación deben ser segregadas y segmentadas (red interna,

externa, sistemas de control industrial, entre otros), de acuerdo, a su criticidad y
factibilidad técnica, con la finalidad de proteger los activos de información frente
a los accesos no autorizados.

11. CULTURA Y CONCIENTIZACIÓN

a. Se debe crear, promover y mantener un nivel de conciencia acerca de la

necesidad de las medidas de control de Ciberseguridad, a través de un programa
de capacitación y concientización de Seguridad de la Información y
Ciberseguridad, como una parte integral de las actividades operativas rutinarias.
Con el objetivo de fortalecer el factor humano, y que este se convierta en pieza
clave en la estrategia de Ciberseguridad, asegurando que todos los
colaboradores entiendan la importancia del rol de Ciberseguridad dentro de la
organización.

b. El programa de capacitación y concientización de Seguridad de la Información y

Ciberseguridad debe prever dentro de su alcance de manera general a todos los
colaboradores, y adicionalmente de manera más específica profundizar en
colaboradores con responsabilidades y funciones especializadas, proveedores,
accionistas y la alta dirección.

c. Los resultados del programa de capacitación y concientización de Seguridad de

la Información y Ciberseguridad deben ser medidos a través de indicadores de
entendimiento y comportamiento; y se debe obtener la retroalimentación y
comprensión de las necesidades de conocimiento de los colaboradores, para su
mejora continua.

12. SEGURIDAD EN LA GESTIÓN DE PERSONAS

a. Durante el proceso de incorporación se deben verificar los antecedentes de los

postulantes y asegurar que los nuevos colaboradores entiendan las obligaciones
de Seguridad de la Información y Ciberseguridad que deben seguir, reduciendo
el riesgo de hurto, fraude o mal uso de las instalaciones.

b. Todo colaborador debe aceptar y revalidar periódicamente los términos y

condiciones del puesto en relación con el manejo de la confidencialidad de la
información, para lo cual debe firmar el Acuerdo de Confidencialidad y la
Autorización para el tratamiento de dato personales.

c. Durante el vínculo laboral de los colaboradores se debe asegurar su conciencia

y comprensión de las amenazas, riesgos y consecuencias de la afectación a la
Seguridad de Información y Ciberseguridad.

d. Cuando los colaboradores incumplan con alguna de las políticas de Seguridad de

la Información y Ciberseguridad se debe considerar la aplicación de acciones
disciplinarias, acorde al cumplimiento de la ley, código de ética y reglamento
interno.

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 9

 e. Se debe asegurar que ante cambio en la posición laboral o cese del colaborador
se garantice el retorno de todos los activos de información y la actualización de
los accesos.

13. SEGURIDAD EN LA GESTIÓN DE PROVEEDORES

a. Se debe realizar la evaluación de los servicios que son significativos para la

organización, a fin de determinar los requisitos y controles de Seguridad de la
Información y Ciberseguridad necesarios.

b. Todo proveedor debe aceptar los acuerdos de Seguridad de la Información y

Ciberseguridad incluidos en el contrato de servicio conforme a la Políticas de
Compras. Estos incluyen, el manejo de la información confidencial y privada de
la organización; y los requisitos y controles de seguridad necesarios para la
protección de la información de la organización.

c. Durante el vínculo contractual se debe realizar el monitoreo continuo del

cumplimiento de la entrega del producto o servicio, así como, en la medida de lo
posible realizar evaluaciones, auditorias y revisiones al cumplimiento de los
requisitos de Seguridad de la Información y Ciberseguridad definidos en el
contrato de servicio.

d. Al término del vínculo contractual se debe asegurar en el caso de servicios de

almacenamiento externo la correcta y segura eliminación de la información de la
organización.

14. SEGURIDAD EN EL ENTORNO FÍSICO

a. El perímetro físico de todas las instalaciones e infraestructuras deben contar con

los controles necesarios que permitan la protección frente a las amenazas en el
entorno físico, las cuales, pudiesen generarse de manera deliberada, por
accidente o a causa de un evento natural.

b. Se debe asegurar que todas las áreas dentro de las instalaciones e

infraestructuras cuenten con los controles de protección necesarios.
Adicionalmente, las áreas críticas deben ser identificadas y en base a los riesgos
asociados contar con controles de protección más robustos.

c. Toda ingreso y salida de los componentes tecnológicos de la organización debe

realizarse de manera segura, controlada y permitir su trazabilidad. En el caso de
los equipos de cómputo portátiles, como laptops o dispositivos móviles, que por
su naturaleza requiere un tratamiento más ágil se debe concientizar a los usuarios
sobre los posibles riesgos del trabajo fuera del perímetro físico de la organización.

d. Todo colaborador que ingrese a las instalaciones e infraestructuras debe

resguardar y mantener visible en todo momento su photocheck, a fin, de detectar
la intrusión de personas no autorizadas. Así mismo, se debe resguardar los pases
proximidad, llaves, tokens, entre otros, previniendo los accesos no autorizados y
las actividades indebidas.

e. Se debe controlar los accesos y hacer seguimiento a todas las actividades que
realicen los visitantes dentro de las instalaciones e infraestructuras de la
organización. Así mismo, se debe cuestionar las actividades que realizan los
visitantes y reportar ante eventos sospechosos.

f. Los documentos físicos, dispositivos extraíbles y dispositivos móviles deben

protegerse a través de lineamientos de escritorio limpio para reducir los riesgos

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 10

 de acceso no autorizado, pérdida y daño de la información, tanto durante el
horario normal de trabajo como fuera del mismo.

g. Cuando se desee destruir documentos físicos o medios digitales se debe

considerar procedimientos seguros y apropiados para su destrucción asegurando
que terceros no la puedan reconstruir, en especial cuando estas contengan
información sensible.

h. Se debe garantizar que los equipos de cómputo desatendidos sean protegidos a

través de procedimientos automatizados o manuales realizados por los
colaboradores previniendo el acceso no autorizado y robo de la información
sensible, salvo que por la naturaleza y necesidad del negocio se requiera
mantener siempre activa la sesión.

i. Los suministros de energía, cableado de datos comercial y cableado de datos

industrial deben protegerse frente a las amenazas deliberadas, accidentales o
generadas por eventos naturales que pudiesen interceptar o dañar la información
y los equipos de cómputo.

15. SEGURIDAD EN LAS OPERACIONES, COMUNICACIONES Y SISTEMAS

a. El perímetro digital que limita con las redes externas a la organización debe contar
con los controles necesarios que permitan controlar los accesos a las redes,
prevenir frente a intentos de intrusión y la protección frente a amenazas
avanzadas.

b. Se debe asegurar que todas las redes cuenten con los controles de protección
necesarios (por ejemplo, firewall de red, IPS, entre otros), incluyendo, las redes
dentro de servicios en la nube o redes industriales. Adicionalmente, las redes
críticas deben ser identificadas y en base a los riesgos asociados contar con
controles de protección más robustos.

c. Las tecnologías de información como los equipos de cómputo, correo electrónico,

dispositivos móviles, medios de almacenamiento de información, entre otros,
deben gestionarse tomando en cuenta su uso aceptable y utilizarse de manera
apropiada, cuidando los activos y asegurando que la información asociada no se
comparta con personas no autorizadas.

d. Los equipos de cómputo, dispositivos móviles, servidores, y servicios informáticos

deben contar con medidas que permitan la detección y protección contra
amenazas de tipo Malware. Cuando no exista factibilidad técnica se podrán
implementar controles compensatorios de igual efectividad.

e. De acuerdo con la necesidad de resiliencia de las operaciones se deben

considerar los controles de seguridad necesarios dentro de la Estrategia de la
Continuidad del Negocio y de los servicios tecnológicos.

f. Todos los componentes tecnológicos deben considerar líneas base estándar de

seguridad o prácticas aceptables para su configuración y la restricción y limitación
de la habilitación de las funcionalidades de los servicios y opciones. Así mismo,
se debe configurar y sincronizar con una sola fuente de hora.

g. Las pistas de auditoría de los componentes tecnológicos deben ser habilitadas,

centralizadas y correlacionadas de acuerdo con la factibilidad técnica, con la
finalidad de servir durante la detección de eventos anómalos y el análisis forense
de incidencias de seguridad.

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 11

 h. Se deben emplear mecanismos y procedimientos para garantizar las capacidades
de los recursos de los componentes tecnológicos a través de su monitoreo y
estimación oportuna de crecimiento, a fin, de lograr la disponibilidad deseada de
los servicios.

i. Cuando se desee eliminar documentos o información en los componentes

tecnológicos se debe considerar procedimientos seguros y apropiados para su
eliminación asegurando que terceros no la puedan reconstruir, en especial
cuando estas contengan información sensible.

j. El respaldo de la información debe asegurar que incluya toda la información

sensible con la frecuencia y retención que por necesidad del negocio o el
cumplimiento de regulaciones, leyes o contratos se requiera, así mismo, se deben
realizar pruebas de restauración para garantizar que los respaldos funcionen ante
un evento no deseado.

k. Se deben emplear mecanismos y procedimientos que permitan controlar cambios

en los componentes tecnológicos, a fin de prevenir modificaciones no autorizados
de software, firmware y hardware.

l. El proceso de desarrollo, adquisición y mantenimiento de sistemas debe

incorporar los requisitos de Seguridad de la Información y Ciberseguridad dentro
de las definiciones funcionales de cada iniciativa, así como, los principios y
buenas prácticas de programación segura.

m. Las aplicaciones tecnológicas deben ser homologadas y centralizadas bajo la

gestión de la Dirección de Tecnologías de Información. Ante aplicaciones
desarrolladas o adquiridas directamente por el usuario final, estas deben ser
informadas para su evaluación y definición de las medidas de control de acuerdo
con el nivel de clasificación de la información que soporta y riesgos asociados;
así como, la factibilidad técnica y operativa de los controles.

n. El proceso de control de cambios en producción debe incluir la participación de

Seguridad de la Información y Ciberseguridad, a fin, de identificar amenazas y
consecuencias asociadas al cambio.

o. Las vulnerabilidades en los componentes tecnológicos deben identificarse y

gestionarse oportunamente, reduciendo la probabilidad de su explotación por una
amenaza. Se debe considerar para la gestión de vulnerabilidad, lo siguiente:

• Preventiva como una actividad recurrente en el tiempo.

• A demanda, por cambios significativos que por la sensibilidad de la
información o relevancia al negocio lo requiera.
• Correctiva ante la remediación de incidencias.

p. Las actividades laborales que se realicen en modalidad remota deben contar con
la respectiva autorización y considerar las medidas de seguridad necesarias para
proteger la información, como, por ejemplo, herramientas contra software
malicioso, filtro de contenido para la navegación por internet, conexiones VPN,
entre otros.

q. Los trabajos de mantenimiento sobre los componentes tecnológicos u operativos

deben ser previamente autorizados y supervisados durante su ejecución,
asegurando que no se realicen acciones no autorizadas.

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 12

 16. GESTIÓN DE INCIDENTES

a. Todo evento e incidente de Seguridad de la Información y Ciberseguridad debe

ser gestionado oportunamente, a través, de procesos y canales que permitan la
detección temprana o el reporte oportuno de los colaboradores o proveedores
que sospechen del incumplimiento de lineamientos de seguridad o de amenazas
a la información.

b. El proceso de monitoreo y detección de eventos debe establecer las bases de

referencia (límites y umbrales) de las operaciones de red y flujos de datos
esperados, de acuerdo con la factibilidad técnica y operativa. Para lo cual, se
debe considerar:

• Los registros de los eventos de diversas fuentes.

• Los roles y responsabilidades.
• Los criterios para realizar el análisis y escalamiento.
• Los canales y protocolos para reportar y comunicar los eventos de seguridad.

c. El alcance del monitoreo y detección de eventos de Seguridad de la Información

y Ciberseguridad debe considerar la detección de accesos no autorizados,
malware, uso indebido de los recursos informáticos, entre otros.

d. La respuesta y recuperación ante incidentes de Seguridad de la Información y

Ciberseguridad debe prever la planificación de las estrategias, actividades, roles
y responsabilidades, criterios y protocolos necesarios para una oportuna y
efectiva atención ante los incidentes que logran afectar a la organización.

e. Los planes de respuesta y recuperación ante incidentes de Seguridad de la

Información y Ciberseguridad deben ser revisados y mejorados periódicamente o
ante eventos significativos.

f. Los planes de respuesta y recuperación ante incidentes de Seguridad de la

Información y Ciberseguridad deben estar alineados a los criterios para la
Continuidad de Negocio, a fin, de establecer los canales y procedimientos ante la
afectación de la disponibilidad de las operaciones.

Política Corporativa de Seguridad de la Información y Ciberseguridad – v.1.0y Ciberseguridad 13