Documento No: PL-SSI-01
Versión: 12
Fecha: 05/04/2023
Redactado por: Seguridad de la Información
Revisó | Aprobó | |
---|---|---|
Nombre | ||
Cargo | Risks and Information Security Manager | President & CEO |
Fecha | 31/03/2023 | 31/03/2023 |
Fecha | Versión | Autor | Descripción |
---|---|---|---|
02/09/2021 | 10 | Risk & Information Security Administrator |
|
30/03/2022 | 11 | Risk & Information Security Administrator |
|
05/04/2023 | 12 | Risk & Information Security Administrator |
|
La Política de Seguridad de la Información de Sophos Solutions es el resultado del compromiso de la alta dirección por brindar una directriz orientada a ejercer una gestión segura y adecuada a la estrategia de la compañía sobre el Sistema Gestión de Seguridad de la Información, el cual, por medio del establecimiento de mecanismos y estrategias busca proteger los activos de información propios y de sus clientes, garantizando la implementación de controles adecuados para el tratamiento de amenazas, riesgos y vulnerabilidades que los afectan, minimizando en mayor medida su materialización e impacto.
Es importante mencionar que este Sistema Gestión de Seguridad de la Información se integra con la gestión de Riesgos, Ciberseguridad, Infraestructura y Continuidad de Negocio con el fin de cumplir con los marcos normativos establecidos en Colombia y también dentro de la organización, además de las políticas, procedimientos y controles establecidos para tal fin.
Mediante la implementación de la norma ISO/IEC 27001:2013 la compañía Sophos Solutions S.A.S. adopta, establece, opera, comprueba y mejora el Sistema de Seguridad de la Información para los procesos Fábrica de Desarrollo de Software “incluyendo Planificación y Administración de Proyectos, Levantamiento de Requerimientos, Análisis y Diseño, Construcción, Pruebas, Implementación, Soporte y Consultoría”.
Sophos Solutions S.A.S es una multinacional colombiana, con oficinas en la ciudad de Bogotá D.C. y Medellín, que provee servicios de Consultoría, Implementación de Core Bancario, Fábrica de Software para todo tipo de organizaciones, especialmente en compañías del sector Financiero y Bursátil.
La compañía Sophos Solutions SAS comprendiendo la importancia de proteger la confidencialidad, integridad y disponibilidad de la información para cada uno de los activos de información y servicios de TI que ofrece a la industria financiera y bursátil, así como también a la industria del Fintech como líder de innovación digital, se ha comprometido a Establecer, Implementar, Adoptar, Operar y Mejorar el Sistema Gestión de Seguridad de la Información como instrumento transversal para identificar, analizar, contener y remediar los riesgos de seguridad identificados con el fin de sostener la mejora continua del sistema, alineado a los requerimientos regulatorios y estratégicos de la compañía.
Por lo anterior, la Política de Seguridad de la Información aplica a las partes interesadas internas de Sophos Solutions SAS de acuerdo con el alcance determinado para el Sistema de Gestión.
Las demás políticas que se deriven como resultado de la implementación del SGSI y de su proceso de mejora continua serán adoptadas y de obligatorio cumplimiento por todos los grupos de interés identificados.
En Sophos Solutions, los responsables de la implementación, gestión, divulgación, formación y aplicación de las actividades relacionadas con el Sistema Gestión de Seguridad de la Información – SGSI, serán la Alta Gerencia, el Comité de Seguridad de la Información, el Área de Seguridad de la Información y algunos procesos involucrados con el ámbito del sistema. Por tanto, los roles y responsabilidades se determinarán teniendo en cuenta estas responsabilidades:
Se designa como responsable del Sistema Gestión de Seguridad de la Información de la compañía al Risk & Information Security Manager, quien tendrá bajo su responsabilidad:
Así mismo, se le designa Autoridad especial sobre el Sistema Gestión de Seguridad de la información, por parte del Chief Technology Innovation Officer – CTIO de acuerdo con el comunicado hecho el 16 de marzo de 2023 y socializado en Comité de Seguridad de la Información del 31 de marzo de 2023:
Es obligación del Risk & Information Security Manager evidenciar por medio de logs y trazas de tiempo cada una de las decisiones, cambios o ajustes tomados y ejecutadas ante la ejecución de la autoridad otorgada, así como el de comunicarlo de forma directa e inmediata al CTIO. Estas evidencias deberán ser validadas y comprobadas por el área de auditoría Interna y demás entes de control que existan en Sophos Solutions.
Las facultades acá concedidas deberán ser revisadas de forma anual en la sesión de Revisión por la dirección (Sophos Pitch), o antes si el CTIO – Chief Technology Innovation Officer o el Comité de Seguridad lo consideran necesario.
La Alta Gerencia es el máximo órgano de la compañía, por tanto, es su responsabilidad asegurar la implementación y mejora continua del Sistema Gestión de Seguridad de la Información – SGSI mediante el cumplimiento de las siguientes actividades:
El Comité de Seguridad de la Información está conformado por:
El Comité de Seguridad de la Información será el responsable de:
Notas aclaratorias:
Dando cumplimiento en la mejora continua del Sistema de Gestión de Seguridad de la Información, se establece que la Política de Seguridad de la Información deberá revisarse cada 6 meses a partir del último cambio realizado o cuando haya modificaciones o nuevos lineamientos que lo ameriten.
La actualización de la Política de seguridad deberá ser socializada y validada por el comité de seguridad de la información.
La actualización de la Política de seguridad deberá ser aprobada por la Alta Gerencia.
“Sophos Solutions S.A.S. se reserva el derecho de modificar el presente documento según los cambios que surjan al interior de la compañía”.