POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1. OBJETIVO

Establecer directrices generales de seguridad de la información tendientes a proteger la
confidencialidad, integridad y disponibilidad de la información de Grow Data, garantizando
que los activos de información estén protegidos de manera adecuada contra amenazas
internas y externas.

2. ALCANCE

Esta política se aplica a todos los empleados, contratistas, proveedores y cualquier persona
con acceso a los sistemas y activos de información de Grow Data. Incluye todos los
sistemas de información, redes, bases de datos, hardware, software y medios de
almacenamiento y en general la totalidad de activos de información de la organización.

3. DEFINICIONES

 Activo de Información: Cualquier dato, sistema o recurso que tiene valor para
la organización y, por lo tanto, requiere protección. Los activos de información
pueden incluir datos, hardware, software, instalaciones y personas.
 Amenaza: Un potencial evento o acción que podría explotar una vulnerabilidad
para causar daño o impacto negativo a un activo de información. Las
amenazas pueden ser naturales, humanas o tecnológicas.
 Análisis de Riesgos: El proceso de identificar y evaluar los riesgos para los
activos de información, considerando las amenazas, vulnerabilidades y el
impacto potencial.
 Confidencialidad: El principio de asegurar que la información solo esté
disponible para aquellos que tienen el derecho de acceder a ella. Protege la
información contra la divulgación no autorizada.
 Controles de Seguridad: Medidas que se implementan para proteger los
activos de información. Pueden ser de naturaleza técnica, física o
administrativa, y están diseñadas para reducir o mitigar los riesgos de
seguridad.
 Disponibilidad: El principio de asegurar que los datos y sistemas de
información estén accesibles y utilizables cuando se necesiten por los usuarios
autorizados.
 Evento de Seguridad: Cualquier incidente que tiene el potencial de afectar la
seguridad de la información, aunque no necesariamente cause daño. Puede
ser una alerta o una actividad inusual que podría señalar una posible violación
de seguridad.

 Incidente de Seguridad de la Información: Un evento que resulta en, o tiene
el potencial de resultar en, una violación de la confidencialidad, integridad, o
disponibilidad de la información.
 Integridad: El principio de proteger la exactitud y completitud de la
información, asegurando que no sea modificada de manera no autorizada.
 Política de Seguridad de la Información: Un conjunto de principios, reglas y
prácticas que establecen cómo se gestionará la seguridad de la información en
una organización.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Versión. 1.0 C&M-GSI-POL-29 Página 3 de 2
 Riesgo de Seguridad de la Información: La combinación de la probabilidad
de que ocurra un incidente de seguridad de la información y la gravedad de su
impacto sobre los activos de información.
 SGSI (Sistema de Gestión de Seguridad de la Información): Un enfoque
sistemático y formal para gestionar la seguridad de la información dentro de
una organización, asegurando que los riesgos sean identificados y gestionados
de manera efectiva.
 Vulnerabilidad: Una debilidad o fallo en un sistema o proceso que podría ser
explotado por una amenaza para causar un impacto negativo en un activo de
información.
 Confidencialidad: Protección de la información para asegurar que solo las
personas autorizadas puedan acceder a ella.
 Incidente: Cualquier suceso que compromete la seguridad de la información,
como una pérdida de datos, acceso no autorizado, o ataque cibernético.
 Integridad: Asegurar que la información sea precisa, completa y esté libre de
manipulaciones no autorizadas durante su procesamiento, almacenamiento o
transmisión.

4. RESPONSABLES

 Oficial de Seguridad de la Información (CISO): Es el ejecutivo principal
responsable de la estrategia y gestión de la seguridad de la información en la
organización.
 Comité de Seguridad de la Información: Se encargan de las actividades generales
de gestión de riesgos en relación con la seguridad de la información incluyendo la
supervisión, la definición de las políticas y la implementación y mantenimiento de
medidas de seguridad.
 Usuarios: Todos los miembros de la organización y partes interesadas tienen una
responsabilidad compartida en la seguridad de la información al seguir políticas de
seguridad, utilizar adecuadamente las herramientas y reportar incidentes.

5. DESCRIPCION DE LA POLITICA DE SEGURIDAD DE LA INFORMACIÓN

La alta dirección de Grow Data se compromete con el establecimiento, implementación,
mantenimiento y mejora del Sistema de Gestión de Seguridad de la Información (SG-SI)
alineado con los requisitos de la norma ISO IEC 27001, adicionalmente garantiza la
identificación, evaluación y gestión de los riesgos de seguridad de la información, mediante
la implementación de controles apropiados en la mitigación de estos riesgos. Adicionalmente
se compromete con garantizar la confidencialidad, integridad y confidencialidad de la
información bajo el cumplimiento de las normas, leyes y normativos y generando cultura de
seguridad de la información mediante capacitaciones permanentes a todos los usuarios.

6. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Versión. 1.0 C&M-GSI-POL-29 Página 4 de 2
 Garantízar de la confidencialidad de la Información
 Garantízar de la Integridad de la Información
 Asegurar la Disponibilidad de la Información
 Gestión Efectiva de Riesgos de Seguridad de la Información
 Cumplimiento Legal y Regulatorio
 Aumento de la Concienciación y Formación en Seguridad
 Respuesta Eficaz a Incidentes de Seguridad de la Información
 Mejora Continua del Sistema de Gestión de Seguridad de la Información.

7. REVISIÓN Y ACTULIZACIÓN
Esta política será revisada al menos una vez al año o cuando sea necesario debido a
cambios en el entorno de amenazas, requisitos legales o tecnologías. Las actualizaciones
serán aprobadas por la alta dirección.

8. DISCIPLINARIOS
El incumplimiento de esta política puede resultar en sanciones disciplinarias que
podrían incluir en la terminación del empleo, en faltas graves y/o acciones legales.

9. CONTROL DE CAMBIOS