Política de Seguridad de la Información

1. Propósito

La presente Política de Seguridad de la Información establece los principios, directrices y compromisos de TTPSEC SpA para la protección de los activos de información propios y de nuestros clientes. Esta política es de aplicación obligatoria para todos los colaboradores, contratistas y terceros que accedan a los sistemas e información de la organización.

2. Alcance

Esta política aplica a:

• Todos los activos de información de TTPSEC SPA, independientemente de su formato (digital, impreso, verbal).
• Todos los sistemas de información, redes, aplicaciones y servicios tecnológicos.
• La información de clientes gestionada durante la prestación de servicios de ciberseguridad.
• Todos los colaboradores internos, consultores, contratistas y proveedores con acceso a información de la organización.
• Las oficinas de Coquimbo y Santiago, Chile, y operaciones remotas.

3. Declaración de la Alta Dirección

La Alta Dirección de TTPSEC SPA reconoce que la seguridad de la información es un pilar fundamental de nuestras operaciones como consultora de ciberseguridad. Nos comprometemos a:

• Proteger la confidencialidad, integridad y disponibilidad de la información.
• Cumplir con la legislación aplicable, contratos y compromisos regulatorios.
• Gestionar los riesgos de seguridad de la información de manera sistemática.
• Mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI).
• Asignar los recursos necesarios para la implementación efectiva de esta política.
• Fomentar una cultura de seguridad de la información en toda la organización.

4. Principios Rectores

4.1 Confidencialidad

La información se clasifica y protege según su sensibilidad. Solo el personal autorizado accede a la información necesaria para el desempeño de sus funciones (principio de mínimo privilegio). La información de clientes se trata bajo estrictos acuerdos de confidencialidad (NDA).

4.2 Integridad

Garantizamos que la información sea precisa, completa y esté protegida contra modificaciones no autorizadas. Implementamos controles de integridad en sistemas críticos y procesos de verificación en entregables de consultoría.

4.3 Disponibilidad

Aseguramos que la información y los servicios estén accesibles cuando se requieran. Mantenemos planes de continuidad de negocio y recuperación ante desastres para servicios críticos.

5. Marco Normativo de Referencia

Nuestro Sistema de Gestión de Seguridad de la Información se fundamenta en:

• ISO/IEC 27001:2022 — Sistema de Gestión de Seguridad de la Información.
• ISO/IEC 27002:2022 — Controles de Seguridad de la Información.
• ISO/IEC 27701:2019 — Gestión de Privacidad de la Información.
• NIST Cybersecurity Framework 2.0 — Marco de Ciberseguridad.
• ISA/IEC 62443 — Seguridad de Sistemas de Automatización y Control Industrial.
• Ley 21.663 — Ley Marco de Ciberseguridad (Chile).
• Ley 21.719 — Ley sobre Protección de Datos Personales (Chile).

6. Gestión de Riesgos

TTPSEC SPA implementa un proceso formal de gestión de riesgos de seguridad de la información que incluye:

• Identificación: inventario continuo de activos de información y amenazas asociadas.
• Evaluación: análisis de probabilidad e impacto de riesgos identificados.
• Tratamiento: selección e implementación de controles proporcionales al nivel de riesgo.
• Monitoreo: revisión periódica de riesgos y efectividad de controles.
• Aceptación: los riesgos residuales son formalmente aceptados por la Alta Dirección.

7. Dominios de Control

7.1 Control de Acceso

• Autenticación multifactor (MFA) para todos los sistemas.
• Control de acceso basado en roles (RBAC) y principio de mínimo privilegio.
• Revisión periódica de permisos y accesos.
• Gestión de identidades centralizada.

7.2 Criptografía

• Cifrado de datos en tránsito (TLS 1.3 mínimo).
• Cifrado de datos en reposo para información sensible.
• Gestión segura de claves criptográficas.
• Firma digital para documentos críticos.

7.3 Seguridad Operacional

• Gestión de vulnerabilidades y parches.
• Monitoreo de seguridad y detección de intrusiones.
• Protección contra malware y amenazas avanzadas.
• Respaldos cifrados con pruebas periódicas de restauración.
• Registro de eventos (logging) y trazabilidad de acciones.

7.4 Seguridad de Comunicaciones

• Segmentación de redes y uso de VPN para accesos remotos.
• Protección de correo electrónico (SPF, DKIM, DMARC).
• Filtrado de tráfico y prevención de exfiltración de datos.

7.5 Seguridad en el Desarrollo

• Prácticas de desarrollo seguro (Security by Design).
• Revisión de código y análisis estático de seguridad (SAST).
• Pruebas de seguridad en aplicaciones (DAST).
• Gestión segura de dependencias y componentes de terceros.

7.6 Gestión de Proveedores

• Evaluación de seguridad de proveedores críticos.
• Acuerdos de confidencialidad y cláusulas de seguridad contractuales.
• Monitoreo de cumplimiento de proveedores.

8. Gestión de Incidentes de Seguridad

Mantenemos un proceso formal de gestión de incidentes que contempla:

• Detección y reporte: canales de reporte internos y externos (CSIRT en csirt@ttpsec.com).
• Clasificación: evaluación de severidad e impacto del incidente.
• Contención: acciones inmediatas para limitar el alcance del incidente.
• Erradicación: eliminación de la causa raíz del incidente.
• Recuperación: restauración de servicios y operaciones normales.
• Lecciones aprendidas: análisis post-incidente y mejora de controles.

Los incidentes de seguridad que involucren datos personales serán notificados a los titulares afectados y a las autoridades competentes dentro de los plazos legales establecidos.

9. Continuidad de Negocio

TTPSEC SPA mantiene un Plan de Continuidad de Negocio (BCP) y un Plan de Recuperación ante Desastres (DRP) que aseguran la disponibilidad de servicios críticos. Estos planes son probados y actualizados periódicamente.

10. Concientización y Capacitación

Todos los colaboradores reciben:

• Capacitación en seguridad de la información al momento de su incorporación.
• Formación continua sobre amenazas emergentes y buenas prácticas.
• Ejercicios periódicos de simulación de phishing y ataques de ingeniería social.
• Actualización sobre cambios en políticas y procedimientos de seguridad.

11. Cumplimiento y Auditoría

El cumplimiento de esta política es obligatorio. Se realizan auditorías internas periódicas para verificar la conformidad con esta política y los estándares de referencia. Las no conformidades son gestionadas a través del proceso de acciones correctivas del SGSI.

12. Sanciones

El incumplimiento de esta política puede resultar en medidas disciplinarias, que incluyen desde amonestaciones hasta la terminación de la relación laboral o contractual, según la gravedad de la infracción. En caso de conductas delictivas, se realizarán las denuncias correspondientes ante las autoridades competentes.

13. Reporte de Vulnerabilidades

Si usted descubre una vulnerabilidad de seguridad en nuestros sistemas, le invitamos a reportarla de manera responsable a csirt@ttpsec.com. Nos comprometemos a investigar y responder a todos los reportes de vulnerabilidades de manera oportuna. Consulte nuestro archivo security.txt para más información.

14. Revisión y Actualización

Esta política es revisada al menos anualmente o cuando se produzcan cambios significativos en la organización, la legislación aplicable, o el entorno de amenazas. Cualquier modificación es aprobada por la Alta Dirección y comunicada a todas las partes interesadas.

15. Contacto

Para consultas sobre esta política:

• Correo: contacto@ttpsec.com
• CSIRT: csirt@ttpsec.com
• Canal de denuncias: denuncias@ttpsec.com
• Teléfono: +569 20063713