Políticas de Seguridad de la Asociación de Expertos en Confiabilidad y Mantenimiento (AECM)
1. Introducción
La Asociación de Expertos en Confiabilidad y Mantenimiento (AECM) se compromete a proteger la integridad, disponibilidad y confidencialidad de todos los documentos y datos relacionados con los procesos de certificación. Esta política establece las directrices y medidas de seguridad necesarias para prevenir accesos no autorizados, proteger la información frente a amenazas internas y externas, y asegurar que todos los datos críticos estén adecuadamente protegidos.
2. Protección de Documentos Electrónicos
2.1 Almacenamiento Seguro
- Servidores Seguros: Todos los documentos electrónicos relacionados con la certificación deben almacenarse en servidores seguros que cumplan con los estándares de seguridad más recientes. Estos servidores deben estar protegidos por firewalls, antivirus y software de detección de intrusiones.
- Cifrado: Todos los datos almacenados en los servidores deben estar cifrados, utilizando algoritmos de cifrado robustos como AES-256 para prevenir accesos no autorizados en caso de una violación de seguridad.
2.2 Acceso Controlado
- Gestión de Contraseñas: El acceso a los documentos electrónicos estará restringido a través de un sistema de gestión de contraseñas, que requiere autenticación de dos factores para aumentar la seguridad. Las contraseñas deben tener al menos 12 caracteres, incluir letras mayúsculas, minúsculas, números y símbolos, y deben cambiarse cada 90 días. La reutilización de contraseñas está prohibida.
- Control de Acceso Basado en Roles (RBAC): Los permisos de acceso a los documentos electrónicos serán otorgados utilizando un modelo de control de acceso basado en roles, donde los permisos son asignados según el rol que desempeña el empleado. Los permisos estarán limitados estrictamente a lo necesario para el desempeño de sus funciones.
3. Protección de Documentos Físicos
3.1 Almacenamiento Seguro
- Archivadores Cerrados: Todos los documentos físicos que contengan información sensible o relacionada con la certificación deben ser almacenados en archivadores cerrados con llave, ubicados en áreas de acceso restringido.
- Control de Acceso Físico: El acceso a las áreas donde se almacenan los documentos físicos estará controlado mediante tarjetas de acceso, códigos PIN o cerraduras biométricas, limitando la entrada solo al personal autorizado.
3.2 Seguridad en la Manipulación
- Supervisión de Acceso: Todo acceso a los documentos físicos debe ser registrado, y cualquier manipulación de estos documentos debe ser supervisada por personal autorizado para asegurar que no se produzcan pérdidas o manipulaciones indebidas.
4. Protección de Datos en Tránsito
4.1 Cifrado de Transmisiones
- Correo Electrónico Seguro: Cualquier documento sensible enviado por correo electrónico debe ser cifrado utilizando estándares de cifrado de extremo a extremo. Se debe utilizar una plataforma de correo electrónico segura que soporte este tipo de cifrado.
- Transferencias Seguras: Los documentos electrónicos que se transfieran a través de redes deben ser enviados utilizando protocolos seguros como HTTPS, SFTP o VPNs, para proteger los datos durante la transmisión.
4.2 Supervisión de Transferencias
- Registro de Transferencias: Se mantendrá un registro de todas las transferencias de documentos electrónicos confidenciales, incluyendo la fecha, hora, destinatario y medio de transmisión, para asegurar la trazabilidad y seguridad de los datos.
5. Eliminación Segura de Documentos
5.1 Documentos Físicos
- Trituración: Los documentos físicos que ya no sean necesarios deben ser destruidos utilizando una trituradora de alta seguridad que cumpla con los estándares de seguridad para destrucción de documentos confidenciales.
5.2 Documentos Electrónicos
- Software de Borrado Seguro: Los archivos digitales que contengan información sensible deben ser eliminados utilizando software de borrado seguro, que sobrescriba los datos de manera irreversible, asegurando que no puedan ser recuperados.
6. Gestión de Dispositivos Móviles y Almacenamiento Externo
- Restricciones de Uso: El uso de dispositivos móviles personales (teléfonos, tabletas) para acceder a información confidencial está prohibido, salvo que el dispositivo esté autorizado y sujeto a las políticas de seguridad de la AECM.
- Uso de Almacenamiento Externo: Los dispositivos de almacenamiento externo, como memorias USB o discos duros portátiles, solo podrán ser utilizados en situaciones de extrema necesidad y deben estar cifrados para proteger la información contenida. Cualquier transferencia de datos a estos dispositivos debe ser aprobada por la alta dirección.
7. Protección Contra Amenazas Internas
- Monitoreo del Personal Autorizado: El acceso a documentos sensibles será monitoreado regularmente para detectar posibles accesos indebidos. Cualquier acceso sospechoso será investigado.
- Política de Reporte de Incidentes Internos: Los empleados tienen la responsabilidad de reportar cualquier actividad inusual o potencial violación de seguridad. El incumplimiento de esta responsabilidad puede llevar a sanciones disciplinarias.
8. Monitoreo y Respuesta a Incidentes de Seguridad
8.1 Monitoreo Continuo
- Software de Monitoreo: Todos los servidores y sistemas de almacenamiento donde se alojen documentos confidenciales serán monitoreados continuamente mediante software especializado, capaz de detectar intentos de acceso no autorizado o actividades sospechosas.
- Alertas Automáticas: El sistema de monitoreo enviará alertas automáticas al equipo de TI en caso de detectar accesos fuera del horario laboral, intentos fallidos de acceso o cualquier otra actividad que pueda indicar una violación de seguridad.
8.2 Procedimiento de Respuesta a Incidentes
- Notificación Inmediata: Cualquier incidente de seguridad, real o sospechado, debe ser reportado inmediatamente al responsable de TI, quien iniciará una investigación dentro de las 24 horas siguientes.
- Investigación y Mitigación: Se llevará a cabo una investigación exhaustiva para determinar la causa del incidente y tomar medidas correctivas inmediatas. Las partes afectadas serán notificadas si es necesario.
9. Auditorías y Revisión de Políticas
9.1 Auditorías Internas
- Frecuencia de Auditorías: Se realizarán auditorías internas semestrales para evaluar el cumplimiento de las políticas de seguridad y detectar cualquier vulnerabilidad que deba ser abordada.
- Informe de Auditoría: Cada auditoría generará un informe que se presentará a la alta dirección, incluyendo recomendaciones para mejorar la seguridad de la información.
9.2 Revisión de Políticas
- Actualización Anual: Las políticas de seguridad serán revisadas y actualizadas al menos una vez al año, o antes si se identifican nuevas amenazas o si hay cambios significativos en la tecnología utilizada.
- Capacitación del Personal: Todos los cambios en las políticas de seguridad serán comunicados al personal autorizado, acompañado de la capacitación necesaria para asegurar la correcta implementación de las nuevas medidas.