Sistema de gestión de seguridad de la información
La Seguridad de la Información en Magnet SPA es parte fundamental del negocio para así entregar confianza a nuestros clientes y usuarios sobre las tecnologías de la información que operamos. La data, con base en nuestra clasificación de la información, es gestionada con los más altos estándares según las mejores prácticas disponibles en el mercado, lo cual es una base para nuestro crecimiento y sustentabilidad organizacional.
La Seguridad de la Información en Magnet SPA es posible dado el compromiso de la alta dirección promoviendo una cultura de mejora continua, facilitando los recursos y herramientas necesarias.
La alta dirección entiende y atiende la importancia y beneficios de mantenerse en cumplimiento, no solo con los requerimientos de ISO 27001 y mejores prácticas de seguridad, sino además con otros requisitos legales, contractuales y gubernamentales relevantes para el contexto de la organización.
En Magnet SPA nuestras políticas y procedimientos en cuanto a la Seguridad de la Información son del conocimiento general de nuestros colaboradores, cuando estas apliquen. En la medida de lo posible y con base al Plan de Comunicación del SGSI definido, nuestras partes interesadas clave serán informadas de nuestros lineamientos y mejores prácticas.
Número de Registro: 2024CRI-318
Norma de referencia: ISO/IEC 27001:2022
Los servicios de Desarrollo de software y Especificación de software soportado por los procesos de Desarrollo de software, Especificación de requerimientos, Configuración de infraestructura cloud, Selección, contratación, inducción y desvinculación de colaboradores, Venta de proyectos de desarrollo de software y Reportería de uso de recursos en los proyectos, con el apoyo de las áreas funcionales de Operaciones, Recursos Humanos y Comercial.
Todo esto acorde a la declaración de aplicabilidad “14.Magnet – v2 Declaración de Aplicabilidad (SoA) (versión 2022)”, versión 2, fechada del 23/05/2024.
Política de Seguridad de la Información
POL-SI-V5
Definición de Seguridad de la Información
Mantener la seguridad de la información significa preservar la confidencialidad, integridad y disponibilidad de esta.
Confidencialidad: Se refiere a la protección de los activos de información, asegurando que solo las personas o entidades con los permisos adecuados puedan acceder a ellos.
Integridad: Se refiere a garantizar que los activos de información se mantengan precisos, completos y protegidos contra alteraciones no autorizadas.
Disponibilidad: Implica asegurar que los activos de información y datos críticos estén accesibles y funcionando cuando se necesiten, evitando interrupciones no deseadas.
Objetivos de Seguridad de la información
Los objetivos de Seguridad de la Información de Magnet son los siguientes:
Fortalecer la confidencialidad: Implementar y mantener controles que aseguren que la información proporcionada por nuestros clientes se maneje de forma segura y confidencial, generando confianza en que sus datos están protegidos.
Fortalecer la integridad: Establecer mecanismos que protejan tanto los datos como a las personas frente a alteraciones no autorizadas o errores.
Garantizar la disponibilidad: Asegurar que los activos de información —incluyendo personal, sistemas, aplicaciones y documentación— estén disponibles para entregar de manera continua nuestros servicios a los clientes.
Asegurar la trazabilidad: Implementar procesos que permitan registrar y auditar adecuadamente las actividades relevantes, de modo que se pueda identificar qué ocurrió, cuándo, cómo y quién participó, facilitando así la mejora continua y la resolución de incidentes.
Disminuir la burocracia: Buscamos facilitar, en lugar de obstaculizar, los procesos operativos de la empresa. Se priorizará la automatización y la mejora de los procesos existentes para hacerlos más seguros, evitando la creación de procesos adicionales que aumenten la carga administrativa.
Promover el conocimiento y la participación: Asegurar que todos los miembros de la organización comprendan su rol y responsabilidades dentro del SGSI. Un sistema efectivo requiere conciencia, compromiso y participación activa.
Principios
Las prioridades de Magnet sobre qué considerar al momento de tomar cualquier decisión relacionada al manejo de información son las siguientes:
Mantener la seguridad de los colaboradores, clientes o cualquier otra persona.
Mantener la confidencialidad.
Mantener la integridad de los activos de información.
Mantener la disponibilidad de los activos de información.
Mantener la trazabilidad
Mantener la comunicación entre las partes interesadas.
Todos los procedimientos existentes de la empresa se rigen bajo esta prioridad, y todos los procedimientos nuevos se diseñan en base a esta.
Como no es posible documentar el 100% de los procedimientos realizados dentro de la empresa, se espera que todos los trabajadores de Magnet comprendan estas prioridades y las apliquen al momento de tomar decisiones relacionadas al manejo de la información y la seguridad de esta.
Implementación
Compromisos
Magnet implementa un Sistema de Gestión de Seguridad de la Información (SGSI) para lograr los objetivos mencionados en este documento. Esto implica definir políticas, procedimientos y estándares para el equipo, asegurando que actúen siempre bajo los principios definidos anteriormente.
Magnet se compromete a satisfacer los requerimientos de su SGSI, a monitorear su avance y a mejorarlo contínuamente.
Responsables
Magnet designa un Comité de Seguridad de la Información y un Oficial de Seguridad de la Información (OSI) para garantizar el cumplimiento del SGSI, considerando lo siguiente:
Se reúnen mensualmente para evaluar el cumplimiento de los objetivos y revisar la eficacia del sistema.
Entre los recursos destinados al funcionamiento del SGSI se considera el tiempo del comité y del OSI y el tiempo del equipo para participar en capacitaciones, leer documentación relevante y aplicar los controles definidos.
Como apoyo, se utiliza la plataforma interna Compliance, la cual facilita el monitoreo y seguimiento del SGSI.
El cumplimiento y la mejora del sistema se evalúan a través de métricas definidas, retroalimentación recibida y el análisis de los incidentes de seguridad que se presenten.
Excepciones
En caso de que se requieran acciones que no se alineen con las prioridades establecidas por Magnet, estas deberán ser comunicadas oportunamente al Comité de Seguridad de la Información. El comité será responsable de analizar y evaluar la justificación de dichas excepciones, y podrá autorizarlas solo si se considera que están debidamente fundamentadas y no comprometen de forma inaceptable la seguridad de la información ni los objetivos del SGSI.
Toda excepción aprobada deberá quedar registrada mediante un mensaje en un canal público de Slack en el que esté el Comité de Seguridad, a fin de asegurar la trazabilidad y facilitar futuras revisiones o auditorías.
