Política de Seguridad de la Información

1 Política de Seguridad​

The Design Store comprometido con la seguridad de la información crea una política de seguridad para mitigar los riesgos de seguridad de la información en su operación, planteando los detalles que deberá tomar en cuenta, así como los controles que se aplicarán.

La presente política aplica todo el personal de The Design Store, incluyendo externos y los sistemas de comunicaciones utilizados en la operación de la organización.

Entre los sistemas se incluyen las redes de área local, las computadoras personales (PC) y demás sistemas administrativos, centro de datos, cuarto de telecomunicaciones y proveedores externos.

​

1.1Política de seguridad de la información

​

1.1.1Documento de política de seguridad de la información

A lo largo del presente documento se establecen los objetivos, criterios, requisitos, estándares y sanciones que aplicará The Design Store como parte de la implementación del sistema de gestión de seguridad de la información.

​

1.1.2Revisión de la política de seguridad de la información

La política de seguridad de la información será revisada una vez cada 12 meses o antes si existiera evento importante de seguridad de la información o significativo en los estándares internacionales y se publicará nuevamente.

Entre las principales causales de revisión de la presente política de seguridad de la información se encuentran:

• Nuevos riesgos identificados

• Actualización de infraestructura tecnológica

• Mejores prácticas internacionales y recomendaciones

• Actualizaciones de normatividad, legislación y regulaciones aplicables

 

 

2 Aspectos organizativos de seguridad de la información

​

2.1Organización interna

​

2.1.1Compromiso de la dirección con la seguridad de la información

La Dirección General apoyará activamente la seguridad de la información a través de recomendaciones claras, asignación explícita y reconocimiento de las   responsabilidades según corresponda.  

La Dirección General designará responsables para supervisar la política de seguridad descrita en el presente documento.

Así mismo, la Dirección conformará un grupo de la seguridad de la información (GSI), el cual se encargará de la coordinación y seguimiento a la implementación de los controles de seguridad descritos en la presente política de seguridad.

Entre otras funciones, el GSI llevará a cabo reuniones de trabajo relacionadas con la seguridad de la información. El objetivo del grupo será encontrar oportunidades de mejora y la necesidad de aportar cambios mediante revisiones que deben estar documentadas y registradas, así como coordinarse con las diferentes direcciones y áreas para la toma de decisiones y acciones relacionada con la seguridad de la información.

Finalmente, la Dirección General de The Design Store declara que el alcance de seguridad de la información para la empresa está delimitado por la información relacionada con propiedad de clientes que se maneja dentro de la misma. Los controles de seguridad que se apliquen derivado de la presente política de seguridad estarán enfocados en aquellos activos relacionados con la información relacionada con propiedad de clientes.

​

2.1.2Coordinación de la seguridad de la información

El GSI comunicará al personal de The Design Store la relevancia de alcanzar los objetivos de seguridad de la información y su participación en la misma, a fin de que sea acatada y se conozcan las consecuencias de su omisión.

​

2.1.3Asignación de responsabilidades relativas a la seguridad de la información

De acuerdo con la estructura orgánica de The Design Store, el GSI estará conformado por:

 

Dirección  de Sistemas

Funciones y Actividades:

• Actualizar, clasificar y autorizar el registro de activos relacionados con el tratamiento de la información.

• Asegurar el cumplimiento del procedimiento de cese o cambio de puesto de trabajo.

• Velar por la efectividad de los mecanismos de seguridad física y de control de acceso a las instalaciones de la empresa.

​

Gerencia de RRHH

Funciones y Actividades:

• Asegurar el cumplimiento del procedimiento de alta de empleados.

  • Documentación Personal

  • Documentación Profesional

  • Documentación de contratación

• Asegurar el cumplimiento de la seguridad de la información en contratos con Terceros.

• Determinar el proceso disciplinario.

• Autorizar la salida de equipos fuera de las instalaciones.

​

Técnico(s) Informático

Funciones y Actividades:

• Asegurar la disponibilidad del listado de contacto de las autoridades.

• Identificar los riesgos que impliquen las personas ajenas a la empresa y documentar los controles de seguridad.

• Mantener actualizado el inventario de activos de información, identificar al propietario de cada uno y establecer su uso aceptable.

• Realizar boletines de concienciación y formación sobre temas de seguridad.

• Verificar que el software de producción se encuentre en óptimas condiciones para implementación.

• Realizar y documentar las rutinas de mantenimiento de equipos de acuerdo al calendario.

• Gestionar y monitorear las capacidades de los activos.

• Asegurar la protección contra el código malicioso en los activos.

• Implementar controles de acceso a la red.

• Documentar incidencias, crear y distribuir una base de conocimientos.

​

2.1.4Proceso de autorización de recursos para el tratamiento de la información

Para tener un control de todos los recursos que se deberán administrar como parte del GSI, cada nuevo recurso de información deberá darse de alta en el registro de activos relacionados con el tratamiento de la información y se deberá formalizar el apego de dicho recurso a la política de seguridad a través del formato que para este fin se haya establecido, mismo que contendrá:

• Tipo de recurso

• Nombre

• Descripción

• Información que manejará o con la que interactúa

• Fecha de alta

• Firma de autorización

​

2.1.5Acuerdos de confidencialidad

Todo el personal que labora en The Design Store firmará un documento mediante el cual quedará formalmente notificado de su responsabilidad respecto del apego a la política de seguridad de la información y las sanciones correspondientes en caso de su incumplimiento u omisión. Esto aplicará tanto para el personal interno como externo.

​

2.1.6Contacto con las autoridades

En The Design Store se cuenta con un directorio de contactos, dentro del cual se listan aquellas organizaciones o personas que consideran relevantes derivado del uso y manejo de información relacionada con propiedad de clientes dentro del sistema de la organización.

​

2.1.7Contacto con grupos de especial interés

El GSI estará en contacto con grupos de profesionales de la seguridad de la información, con la finalidad de mantenerse actualizados con métodos o técnicas de protección de información más efectivas, así como vulnerabilidades que pudieran comprometer la seguridad de la información.

 

2.1.8Revisión independiente de la seguridad de la información

A petición de la dirección, se realizarán evaluaciones del sistema de gestión de seguridad de la información mismas que se llevarán a cabo por personal externo.

​

2.2Terceros

​

2.2.1Identificación de los riesgos derivados del acceso de terceros

El GSI identificará los riesgos derivados del acceso de terceros y establecerá los procedimientos para mitigarlos en un documento. En el caso de identificar un nuevo riesgo, el documento se actualizará.

​

2.2.2Tratamiento de la seguridad en la relación con los clientes

Como parte del tratamiento de la información, The Design Store ha establecido el siguiente decálogo de seguridad, al cual se deberá apegar todo aquel usuario al que se le brinde acceso a información relacionada con propiedad de clientes dentro de The Design Store:

1. Las contraseñas son personales e intransferibles.

2. No se permiten los accesos indebidos o a través de canales no autorizados.

3. Queda estrictamente prohibido el uso de la información para fines distintos a los que originalmente se definieron.

4. Toda la información deberá ser manejada bajo los principios de confidencialidad y no difusión de la información.

5. Todos los riesgos de seguridad de la información deberán ser notificados al GSI.

6. Cualquier acto ilícito relacionado con el manejo de seguridad de la información deberá ser notificado al GSI.

7. Queda prohibida la extracción no autorizada de información de cualquiera de los activos de información identificados.

8. Queda prohibido llevar a cabo ataques que atenten contra la integridad, disponibilidad y accesibilidad de la información.

9. El intercambio de información se deberá llevar a cabo conforme a los lineamientos que para este fin se han establecido en la presente política de seguridad de la información.

10. Cualquier medida adicional de seguridad que permita salvaguardar la integridad, disponibilidad y accesibilidad de la información deberá ser aplicada con independencia de si ésta se encuentra considerada en la política de seguridad.

 

El decálogo de seguridad se encuentra disponible en: https://www.thedesignstore.mx/politica-seguridad.

​

2.2.3Tratamiento de la seguridad en contrato con terceros

Todos los usuarios internos, así como los terceros relacionados con el acceso, procesamiento, comunicación o gestión de alguno de los activos de información relacionada con propiedad de clientes, estarán comprometidos con el cumplimiento de la política de seguridad de la información, así como las sanciones asociadas que haya establecido The Design Store.

 

​

3Gestión de activos

​

3.1Responsabilidad sobre los activos

​

3.1.1Inventario de activos

The Design Store generará y mantendrá una relación de los activos de información. Para cada activo, en dicha relación se tendrán los siguientes datos:

• Identificador del activo

• Tipo de activo (lógico/físico)

• Nombre del activo

• Descripción del activo

• Prioridad del activo (alta/media/baja)

• Uso adecuado del activo

• Propietario o responsable del activo

En el anexo “Inventario de Activos” se encuentra el listado completo que contiene el detalle de activos.

​

3.1.2Propiedad de los activos

The Design Store a través del inventario de activos, descrito en el numeral 3.1.1 de la presente política de seguridad de la información, identificará al propietario de cada uno de los activos de información que forman parte del alcance de la presente política de seguridad de la información.

Cada propietario, de acuerdo con la relación de activos de información, deberá mantener el listado de dicho inventario actualizado. Por su parte, el GSI podrá mantener informado al propietario del activo sobre su responsabilidad asociada mediante un formato de resguardo que podrá incluir:

• Activos

• Condiciones de uso

• Firma del responsable del activo

​

3.1.3Uso aceptable de los activos

The Design Store a través del inventario de activos descrito en el numeral 3.1.1 de la presente política de seguridad de la información, establecerá el uso que se deberá dar para aquellos activos de información relacionada con propiedad de clientes que se consideren de alta prioridad.

​

3.2Clasificación de la información relacionada con propiedad de clientes

​

3.2.1Lineamientos de clasificación

The Design Store en la relación de activos, descrita en el numeral 3.1.1 de la presente política de seguridad de la información, clasifica los activos de información relacionada con propiedad de clientes de acuerdo con su prioridad:

• Confidencial. Solamente algunos miembros de la empresa tienen acceso.

• Restringido. Los miembros de la empresa y algunos terceros con acuerdos de confidencialidad firmados tienen acceso a él.

• Público. Cualquier persona tiene acceso.

​

3.2.2Etiquetado y manipulado de la información

Todo aquel medio impreso que se encuentre dentro del alcance de la presente política de seguridad contará con una leyenda visible que permita identificar la clasificación de acuerdo a lo establecido en el punto 3.2.1.

 

 

4 Seguridad ligada a los Recursos Humanos

​

4.1Antes del empleo

​

4.1.1Funciones y responsabilidades

El personal interno y externo deberá conocer sus funciones y responsabilidades de cara a la seguridad de la información antes y durante el ejercicio de sus funciones.

Para dar cumplimiento a lo anterior, todo aquel que como parte de sus actividades dentro y fuera de la empresa maneje, administre o interactúe con información relacionada con propiedad de clientes tendrá funciones y responsabilidades, mismas que serán de su conocimiento a través del documento correspondiente y éste deberá firmar de conocimiento.

Para el caso específico de personal externo a The Design Store, deberán firmar un acuerdo de confidencialidad y no divulgación donde se les informe de la existencia de una política de seguridad.

​

4.1.2Investigación de antecedentes

El GSI realizará las diligencias correspondientes para conocer los antecedentes de seguridad y laborales del personal candidato a ser contratado incluyendo prestadores de servicios, cuando la Dirección así lo solicite o cuando mejor se determine, los antecedentes personales o empresariales, tomando en consideración los siguientes datos:

• Verificar la identidad del candidato/empresa.

• Contar con Currículo Vitae, dentro del cual se pueda validar mediante referencias la información plasmada.

• Domicilio

• Verificar referencias de empleos o proyectos anteriores

El GSI deberá mantener los registros de dicha investigación.

​

4.1.3Términos y condiciones de contratación

El personal interno de The Design Store, los proveedores, contratistas y terceros que procesan información relacionada con propiedad de clientes tendrán conocimiento de las condiciones de seguridad, las sanciones, cláusulas y responsabilidades relacionadas con la seguridad de la información relacionada con propiedad de clientes. Para garantizar, deberá firmar y aceptar el acuerdo de confidencialidad y no divulgación donde se les informe de la existencia de una política de seguridad.

​

4.2Durante el empleo

​

4.2.1Responsabilidades de la Dirección

La Dirección de The Design Store apoyará activamente la política de seguridad de la información a través de una dirección clara, asignación explícita y reconocimiento de las responsabilidades según corresponda, así como las sanciones pertinentes para hacer cumplir la política vigente.

Dicho apoyo se realizará mediante la comunicación al personal de la relevancia de alcanzar los objetivos de seguridad de la información, acatar la política creada y la necesidad de una mejora continua y la necesidad de aportar cambios mediante revisiones documentadas.

​

4.2.2Concienciación, formación y capacitación en seguridad de la información

Se proporcionará a los empleados de la organización y terceros responsables de procesar información relacionada con propiedad de clientes, programas de concientización, educación y capacitación en función de las necesidades de la empresa, para que éstos a su vez lo transmitan hacia los usuarios de los activos de información.

El personal recibirá capacitación periódica, de manera que se mantenga actualizado y comprometido con la seguridad de la información.

Para afianzar la cultura de seguridad de la información, el GSI hará la difusión correspondiente mediante cualquiera de los siguientes medios:

• Correos electrónicos

• Intranet

​

4.2.3Proceso disciplinario

Las políticas y lineamientos de Seguridad de la información deben cumplirse en todo momento. Cualquier incumplimiento será tratado de acuerdo con los procedimientos disciplinarios dispuestos por The Design Store.

Ante cualquier situación generada, en la cual se ponga en riesgo la seguridad de la información, o dicho riesgo se haya materializado, afectando activos de información, a través del GSI se evaluará el impacto, a partir del cual se determinará las acciones correctivas correspondientes, incluyendo las sanciones aplicables, dentro de las cuales se tendrán:

• Amonestación

• Suspensión temporal

• Suspensión definitiva

Cuando existan tres amonestaciones se procederá a una suspensión temporal. las siguientes tres amonestaciones tendrán como consecuencia la suspensión definitiva.

Las amonestaciones se realizarán mediante un escrito informando la fecha y motivo de dicha amonestación. El personal involucrado deberá firmar de enterado. La documentación de amonestaciones será almacenada por el GSI.

​

4.3Cese del empleo o cambio de puesto de trabajo

​

4.3.1Responsabilidad del cese o cambio

Al momento de notificar la terminación del contrato de un empleado, contratista o tercero por cualquier motivo y en cualquier circunstancia, la Dirección debe considerar y cuando corresponda garantizar que:

1. Se eliminan los derechos de acceso a los sistemas, cuentas de correo electrónico, acceso a Internet, aplicativos y demás activos de información a los que pueda existir un uso o acceso no autorizado.

2. La correspondiente área contratante, informará a la dirección mediante correo electrónico sobre cualquier terminación de contrato de personal o externos.

3. En caso de representar un riesgo significativo para los activos de información de The Design Store, el sujeto en cuestión podrá ser llevado fuera de las instalaciones y se le podrá denegar el acceso a las mismas en el futuro.

4. Se deben de retirar los permisos de acceso del empleado o terceros contratados como pueden ser:

• Accesos físicos a la institución

• Software, los equipos, manuales y demás documentación de informática

1. Cuando se le permita al empleado o tercero continuar con sus funciones, se mantendrá vigilado para detectar cualquier actividad o comportamiento inusual.

2. Los empleados y terceros contratados deben de regresar los activos propiedad de la organización utilizados durante su trabajo en el tiempo que duró su contrato.

Los activos utilizados son:

• Software

• Hardware

• Equipo de Oficina y/o documentos corporativos

• Información en medios electrónicos y credenciales de acceso

​

4.3.2Devolución de activos

Para garantizar que todos los activos sean devueltos al momento de notificar la terminación del contrato de un empleado, contratista o tercero, o en su caso devolución del activo por algún otro motivo se deberá:

• Llenar el formato de devolución de activos.

• Si la devolución es por terminación de contrato, se deberá cotejar los activos con las hojas de resguardo firmadas.

El formato de devolución podrá incluir:

• Todos los activos que se están entregando y el estatus de la entrega.

• Firma del responsable que recibe.

​

4.3.3Retirada de los derechos de acceso

Al momento de notificar la terminación del contrato de un empleado, contratista o tercero por cualquier motivo, se le retirarán los accesos a sistemas de acuerdo con el formato establecido para dicho propósito.

​

​

5 Seguridad Física y del entorno

​

5.1Áreas Seguras

​

5.1.1Perímetro de seguridad física

La Dirección velará por la efectividad de los mecanismos de seguridad física y control de acceso que aseguren el perímetro principalmente de aquellas instalaciones bajo las cuales se resguardan activos de información.

​

5.1.2Controles físicos de entrada

Debe protegerse la seguridad física de las instalaciones y del personal de The Design Store:

• Se proporcionará una identificación adecuada para cada empleado de la empresa, la cual debe ser portada en todo momento dentro de las instalaciones.

• Solamente el personal autorizado puede acceder a las instalaciones.

• Los equipos y dispositivos de almacenamiento, procesamiento y transmisión de información estarán dentro de los perímetros de las áreas de seguridad, mismas que serán resguardadas y a las cuales solamente se le permitirá el acceso al personal autorizado.

• Siempre que sea posible, se utilizará sistemas automatizados de control de acceso físico.

• El acceso a las áreas seguras debe ocurrir solamente cuando exista la justificación pertinente.

• De ser posible, se implementarán sistemas de grabación o circuito cerrado.

• Las instalaciones de The Design Store contarán con controles biométricos que regulen la entrada y salida de las instalaciones del personal.

• Para el caso de los visitantes, deberán identificarse mediante  el registro en bitacora resguardado por el personal de seguridad. El personal de recepción del inmueble dará aviso sobre su llegada y la persona visitada de The Design Store será responsable de acompañar en todo momento al visitante desde su llegada hasta su salida.

​

5.1.3Seguridad de oficinas, despachos e instalaciones

El GSI implementará las medidas de seguridad en las áreas internas de las instalaciones, tales como:

• Candados de seguridad

• Llaves únicas para oficinas, despachos y salas de juntas

Así como aquellos que se incorporen a través del tiempo de acuerdo con las necesidades detectadas.

​

5.1.4Protección contra las amenazas externas y de origen ambiental

Los factores externos tales como temperatura y la ventilación dentro de las instalaciones que albergan equipos de cómputo, maquinaria, comunicaciones y medios de almacenamiento de información se mantendrán bajo condiciones ambientales favorables, a fin de evitar el daño a dichos equipos.

Así mismo, las instalaciones tendrán protección contra daños de origen ambiental o daños naturales, tales como:

• Extintores

• Rutas de evacuación

​

5.1.5Trabajo en áreas seguras

Las áreas de trabajo deben ser seguras para que el personal pueda realizar su labor, y en aquellas áreas donde tengan restricciones particulares se debe notificar al personal cuales son las medidas de seguridad adecuadas, tales como: precaución con altos voltajes, precaución con líquidos o alimentos, precaución con artefactos magnéticos o de interferencia.

Todas estas restricciones deben estar señalizadas en forma de avisos o carteles de seguridad en el entorno de trabajo.

También deben estar correctamente señalizadas, las rutas de evacuación, así como extintores y salidas de emergencia.

​

5.1.6Áreas de acceso público y de carga y descarga

Como parte del servicio de contratación del inmueble en el que se encuentran las oficinas de la organización, no se considera un área para carga y descarga. El público ajeno a la organización que ingresa a las oficinas lo realiza siguiendo los controles descritos en el numeral 5.1.2, motivo por el cual no se establece ningún control de seguridad asociado a este rubro.

5.2Seguridad de los equipos

​

5.2.1Emplazamiento y protección de equipos

El equipo de cómputo y de procesamiento de información estará debidamente resguardado o provisto con mecanismo de protección para evitar que pueda ser extraído por personal no autorizado.

De igual forma estará protegido contra accesos no autorizados al equipo o extracción de información por personal ajeno o no autorizado. Para ello se tomarán en cuenta los siguientes lineamientos:

1. Los equipos estarán asegurados físicamente al inmueble, ya sea empotrados o asidos a una estructura para evitar su extracción.

2. Si los equipos son móviles como laptops contarán con un candado de seguridad mientras estén en las instalaciones o lugares de trabajo.

3. Los equipos tendrán contraseñas de acceso.

4. El equipo tendrá una directiva de seguridad de autobloqueo de sesión por inactividad.

​

5.2.2Instalaciones de suministro

Las instalaciones de The Design Store cuentan con un sistema de suministro eléctrico confiable para evitar fallos en los equipos de cómputo y de procesamiento de la información.

Las instalaciones cuentan con:

• Cableado estructurado.

• Regulación eléctrica adecuada.

​

5.2.3Seguridad del cableado

Las instalaciones de The Design Store cuentan con controles de acceso restringido al cableado eléctrico y de red, con el fin de evitar interrupciones o ataques de algún tipo a esta infraestructura.

​

5.2.4Mantenimiento de los equipos

Los equipos se mantendrán en buen estado para su correcto funcionamiento, por lo tanto, el área correspondiente brindará soporte a los equipos. Para cada mantenimiento ya sea correctivo o preventivo, se documentarán las acciones realizadas.

​

5.2.5Seguridad de los equipos fuera de las instalaciones

Todo el equipo de The Design Store que sea sacado de las instalaciones de la organización, incluyendo computadoras portátiles, unidades de almacenamiento, otros dispositivos electrónicos contarán con el debido formato de autorización indicando el motivo de la salida.

La provisión y utilización de equipos de la empresa fuera de las instalaciones será autorizada por la Dirección de Sistemas, tomando en cuenta los riesgos involucrados. El personal a cargo del equipo fuera de las instalaciones es responsable de:

1. Proteger la confidencialidad de la información.

2. La seguridad e integridad física de ese equipo.

3. Garantizar que el equipo sea utilizado sólo para los propósitos autorizados y por personal autorizado.

4. Utilizar los controles de seguridad provistos con el equipo, tales como cerraduras físicas y sistemas de cifrado de archivos en caso de que el equipo contenga información confidencial o relacionada con propiedad de clientes.

5. Almacenar de manera segura las unidades magnéticas extraíbles cuando no se estén utilizando.

6. Desconectar el equipo de las redes de telecomunicaciones cuando no se esté utilizando.

Para autorizar el uso del equipo fuera de la empresa se debe llenar el formato de autorización correspondiente e ir firmado por la Dirección de Sistemas.

​

5.2.6Reutilización o retirada segura de equipos

Todo el equipo de la empresa que sea retirado por reemplazo o que su vida útil haya terminado será sometido a un procedimiento de borrado por completo, es decir:

• Se identificarán los medios de almacenamiento de la información y estos deben ser borrados con software de borrado seguro que sobrescriba la información.

• Si el medio de almacenamiento no es accesible por software será destruido o desarmado físicamente.

• Una vez concluido el proceso de borrado se llenará el formato de retirada segura de equipos el cual deberá tener los siguientes datos:

  • Destino del equipo

  • Información que almacenaba

  • Motivo del retiro

  • Observaciones

  • Firma del encargado de eliminar la información

  • Aprobación de la dirección responsable

​

5.2.7Retirada de materiales propiedad de la organización

Todo activo que sea retirado o reubicado ya sea dentro de la empresa o fuera de ella, será autorizado por la dirección, llamándose un documento de autorización con los siguientes datos:

• Destino del activo

• Información que almacena

• Motivo del retiro o movimiento

• Observaciones

• Firma del encargado de eliminar la información

• Aprobación de la dirección responsable

 

6 Gestión de Cambios

​

6.1Gestión de la provisión de servicios por terceros

​

6.1.1Provisión de servicios

Los proveedores al servicio de The Design Store formalizarán sus funciones a través de un contrato que manifieste claramente sus actividades y alcances. Así mismo, serán documentados los controles aplicables a los activos de información a los que tengan acceso los terceros.

​

6.1.2Supervisión y revisión de los servicios prestados por terceros

Los servicios prestados por terceras partes serán monitoreados de acuerdo con los controles de seguridad de la información existentes y criticidad de sus funciones.

​

6.1.3Gestión del cambio en los servicios prestados por terceros

Toda actualización o cambio en los servicios prestados por terceros estará monitoreada y documentada para su aprobación por parte de la dirección o el GSI, tomando en cuenta los controles, el impacto y la criticidad de los procesos involucrados.

​

6.2Protección contra el código malicioso y descargable

​

6.2.1Controles contra el código malicioso

Los equipos de cómputo de The Design Store tendrán software que detecte, bloquee y elimine virus u otros códigos maliciosos, mismo que se mantendrá actualizado y con las licencias pertinentes para su buen funcionamiento.

​

6.2.2Controles contra el código descargado en el cliente

Los equipos de cómputo de The Design Store tendrán protección que detecte la descarga de archivos maliciosos o bloqueo de páginas de internet que puedan contener códigos que puedan afectar el funcionamiento y la integridad de la información, así como correo electrónico no deseado y potencialmente peligroso.

​

 

6.3Gestión de la seguridad de las redes

​

6.3.1Controles de red

La red de telecomunicaciones de The Design Store estará bajo políticas de seguridad para evitar ataques. Se implementarán reglas y políticas en el router principal de acceso y firewall en los equipos de cómputo para filtrar y bloquear tráfico de red que no sea apto para las funciones dentro de la organización.

​

6.3.2Seguridad de los servicios de red

Todas las redes de trabajo deben ser monitoreadas con programas adecuados para detectar accesos no deseados o uso inadecuado de la infraestructura.

Los recursos y archivos compartidos serán escaneados y protegidos contra amenazas de código malicioso.

​

6.4Manipulación de los medios

​

6.4.1Gestión de los medios extraíbles

Todos los equipos informáticos que manejen o almacenen información relacionada con propiedad de clientes, tendrán bloqueados los puertos USB para uso como almacenamiento y en su caso lectores de memoria.

Nunca se extraerá información para fines ajenos a los establecidos por la organización.

En el caso en el que sea necesario almacenar información relacionada con propiedad de clientes por algún motivo particular, se debe almacenar siempre discos duros y USB corporativos debidamente protegidos y con las medidas de seguridad para evitar algún daño a la información o acceso de personal no autorizado.

​

6.4.2Retirada de medios

Al retirar de funcionamiento cualquier medio de almacenamiento de información deben ser evaluados por el correspondiente para asegurar que la información contenida en el medio ya no es requerida, de ser así, se hará el respaldo, de lo contrario se eliminará de forma segura.

Si la información o el medio de almacenamiento han dejado de funcionar, se procederá a la inhabilitación o destrucción total a fin de asegurar que no podrá ser accesible por alguien más.

Se formalizará en el documento correspondiente que el medio fue retirado correctamente y en su caso la información fue destruida de forma correcta o respaldada si así se requiere.

​

6.4.3Procedimientos de manipulación de la información

La información relacionada con propiedad de clientes será almacenada en medios seguros de tal forma que no sea accesible por terceros.

Los respaldos de sistemas o archivos que procesan y administran información de clientes se resguardarán en medios seguros, sólo accesibles por personal autorizado por la dirección.

​

6.4.4Seguridad de la documentación del sistema

La documentación de los sistemas de información será tratada como información restringida y confidencial, por lo que será almacenada en sistemas con acceso controlado y sólo accesibles por personal autorizado por la dirección.

​

 

7Control de Acceso

​

7.1Requisitos de control de acceso de información

​

7.1.1Política de control de acceso

Los sistemas informáticos de The Design Store contarán con un mecanismo de acceso que sólo permitirá ingresar al personal autorizado y dependiendo de sus funciones específicas, únicamente mostrará la información que le compete.

Los accesos a información relacionada con propiedad de clientes para el personal de The Design Store serán autorizados por el GSI quienes incorporarán dicha información como parte del listado de activos a cargo del responsable de dicho acceso.

​

7.2Requisitos Gestión de acceso de usuario

​

7.2.1Registro de usuario

Los accesos a sistemas que administren o procesen información relacionada con propiedad de clientes deben estar documentados en el listado de activos y ser autorizados por el grupo de seguridad de la información por medio de un formato de alta de usuarios, el cual podrá firmarse por el GSI.

​

7.2.2Gestión de privilegios

El GSI mantendrá actualizada una relación que contenga los usuarios y privilegios que posee cada uno dentro de los sistemas informáticos de The Design Store, con el fin de documentar que efectivamente cumplen con las funciones específicas que le competen al usuario.

​

7.2.3Gestión de contraseñas de usuarios

En el manejo de contraseñas se debe tomar en cuenta:

• No escribir ni reflejar la contraseña en un papel o documento donde quede constancia de esta.

• No enviar nunca la contraseña por correo electrónico o en un SMS.

• No escribir las contraseñas en archivos sin protección o de los que se desconozca su nivel de seguridad.

​

7.2.4Revisión de los derechos de acceso de usuario

Se harán revisiones cuando así lo determine el GSI, para la inspección de la integridad de datos de usuarios y perfiles en los sistemas informáticos de The Design Store.

Dicha revisión la llevará a cabo el GSI constatando que no haya usuarios con privilegios adicionales ni usuarios inactivos o que ya fueron cesados.

​

7.3Responsabilidades de usuario

​

7.3.1Uso de contraseñas

Los usuarios de los sistemas informáticos de The Design Store seguirán la siguiente política para el uso de contraseñas:

• Mínimo 8 caracteres

• Al menos una letra mayúscula

• Al menos una letra minúscula

• Al menos un número

• Al menos un caracter especial

​

7.3.2Equipo de usuario desatendido

Los equipos de cómputo desde los que se accede a sistemas de The Design Stoe o manejen información relacionada con propiedad de clientes, deben bloquearse de manera automática por el usuario al abandonar la estación de trabajo para evitar accesos no deseados.

​

7.3.3Equipo Política de puesto de trabajo despejado y pantalla limpia

Los espacios de trabajo dentro de The Design Store cumplirán con lo siguiente:

• No debe existir a la vista o a la mano documentos con información sensible o relacionada con propiedad de clientes.

• No debe haber a la vista o a la mano dispositivos de almacenamiento que contengan información sensible o relacionada con propiedad de clientes sin la adecuada supervisión.

• Los escritorios y áreas de trabajo deberán estar libres de alimentos.

• El área de trabajo debe estar despejada, sólo con el material que es requerido para la actividad que se desempeña.

​

7.4Control de acceso a la red

​

7.4.1Política de uso de los servicios en red

El servicio de red será proporcionado a todo usuario autorizado que cuenta con una computadora y hace uso de la red interna de The Design Store, tomando en cuenta lo siguiente:

• El GSI se reserva el derecho de bloquear sitios de Internet que no cumplan con fines laborales de la organización.

• El GSI se reserva el derecho de restringir o negar servicio de red en equipos que se detecte algún abuso o provoquen interrupciones.

• No está permitido el uso de la red para juegos recreativos o redes sociales personales.

• Está prohibido instalar y habilitar en los equipos de cómputo servicios como: servidores web, FTP, DHCP, DNS, IRC, correo electrónico, proxy o algún otro programa sin la autorización correspondiente.

• Es responsable el usuario por los sitios que visite en Internet.

 

7.4.2Autenticación de usuario para conexiones externas

Los usuarios o terceros que se conecten a la infraestructura de red de The Design Store y dicha conexión implique el acceso a información confidencial o relacionada con propiedad de clientes, deberán hacerlo a través de los mecanismos autorizados por el GSI, previa autorización.

Solo por motivos especiales se podrá acceder vía remota a la red, estos motivos serán para soporte o configuración de alguna de las infraestructuras de la empresa. Para poder acceder se deberán tomar en cuenta los siguientes puntos:

• The Design Store autoriza como servicios de conexiones externas: VPN, escritorios remotos y aplicaciones para conexión remota.

• Cualquier conexión será previamente justificada y autorizada por el GSI.

• La conexión será restringida a ciertos equipos dentro de un tiempo determinado, mientras se efectúen las labores de soporte o mantenimiento.

• Todas las conexiones remotas serán monitoreadas mientras estén activas.

​

7.4.3Identificación de los equipos en las redes

El personal asignado controlará e identificará los equipos conectados a su red, mediante, asignación de dirección IP y asignación por dirección MAC.

​

7.4.4Protección de los puertos de diagnóstico remoto y protección de los puertos de configuración

Los puertos que permitan realizar mantenimiento y soporte remoto a los equipos de red, Servidores y equipos de usuario final, estarán restringido a los administradores de red o servidores.

​

7.4.5Control de la conexión a la red

Dentro de la red de datos de The Design Store se restringirá el acceso a sitios potencialmente peligrosos.

El GSI podrá determinar establecer excepciones de acuerdo con las funciones de usuarios específicos, sin comprometer la seguridad de la información.

​

7.4.6Control de enrutamiento (routing) de red

Las conexiones no seguras a los servicios de red pueden afectar a toda la organización, por lo tanto, se controlará el acceso a los servicios de red tanto internos como externos para garantizar que los usuarios que tengan acceso a las redes y a sus servicios no comprometan la seguridad de estos.

Adicionalmente se utilizarán métodos de autenticación por MAC de los equipos y listas de control de acceso.

​

7.5Control de acceso al sistema operativo

​

7.5.1Procedimientos seguros de inicio de sesión

El acceso al sistema operativo de todos los equipos de cómputo estará protegido mediante un inicio seguro de sesión.

​

7.5.2Identificación y autenticación de usuario

Los nombres de usuario para las cuentas de acceso a los sistemas de The Design Store serán únicos para su uso personal y exclusivo, de tal forma que puedan ser identificados claramente. Por otro lado, el acceso a los equipos de cómputo deberá tener como parte de su nomenclatura el nombre del usuario responsable, indicando nombre y apellido.

​

7.5.3Sistema de gestión de contraseñas

De acuerdo con los criterios establecidos para la gestión de contraseñas, los equipos de cómputo deberán apegarse a dichos criterios, tal como se establece en el numeral 7.2.3 del presente documento.

​

7.5.4Uso de los recursos del sistema

Los equipos de cómputo contarán con restricciones para el uso o instalación de software, solo el personal autorizado podrá instalar y determinar qué software es necesario para el usuario. Si requiere software adicional, éste deberá ser aprobado por la dirección y el GSI.

​

7.5.5Desconexión automática de sesión

En los equipos de cómputo que estén desatendidos, se bloqueará la sesión de usuario, requiriendo nuevamente el ingreso de la contraseña de acceso.

Los usuarios procederán a bloquear sus sesiones, cuando deban abandonar parcial o totalmente su puesto de trabajo por un periodo indefinido.

​

7.6Equipos de cómputo portátil y teletrabajo

​

7.6.1Equipos de cómputo portátil y comunicaciones móviles

Todos los equipos de cómputo móviles (laptops) que administren o procesen información relacionada con propiedad de clientes, estarán asignados a un área específica y serán movidos únicamente bajo la autorización correspondiente del GSI.

​

7.6.2Teletrabajo

Los controles de acceso y seguridad asociados a los equipos de teletrabajo serán los mismo que los equipos dentro de las instalaciones de The Design Store, dando prioridad a las conexiones a través de VPNs y herramientas específicas para garantizar la protección y transporte de información relacionada con propiedad de clientes de manera segura.

​

 

8 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

​

8.1Controles criptográficos

​

8.1.1Política de uso de los controles criptográficos y gestión de claves

Los controles criptográficos que se llegasen a utilizar en los sistemas de The Design Store se mantendrán bajo resguardo del GSI, los cuales serán responsables del uso y almacenamiento de estos.

​

8.1.2Gestión de claves

Las claves que se usen en los sistemas de The Design Store serán gestionadas por el GSI y deberán:

• Renovar las claves frecuentemente.

• Usar claves diferentes para los diferentes ambientes (Diferentes bases de datos para autenticación, almacenamiento, etc.) con el fin de minimizar la exposición de las claves.

• Asignar claves diferentes a cada persona o grupo que acceden al sistema, de tal manera que sólo las personas autorizadas tengan acceso a determinada información.

• Las claves que por alguna razón se vuelven no seguras o aquellas que ya no son usadas por algún usuario serán eliminadas.

• La distribución de las claves para los usuarios debe ser de forma manual, evitando proporcionar la información por medios digitales.

​

8.2Seguridad de los archivos de sistema

​

8.2.1Control del software en explotación

Actualmente dentro de The Design Store no existen sistemas que cuenten con módulos o software para la explotación de información, motivo por el cual no se establece ningún control de seguridad asociado a este rubro.

​

8.2.2Protección de los datos de prueba del sistema

Queda prohibido el uso de información real en cualquier ambiente de pruebas o desarrollo. Se deberán usar datos ficticios o en su defecto una mezcla de información siempre y cuando se asegure que ningún dato es real.

​

8.2.3Control de acceso al código fuente de los programas

El acceso al código fuente de los sistemas de The Design Store está restringido sólo al personal autorizado, así como los equipos de desarrollo. Estos firmarán acuerdos de confidencialidad, haciéndose responsables del resguardo del código y su autoría.

El código implementado en los servidores deberá tener protecciones para evitar la modificación de este, puede ser que esté previamente compilado o en su defecto accesos restringidos a las carpetas de producción.

​

 

9 Cumplimiento

​

9.1Cumplimiento de los requisitos legales

​

9.1.1Identificación de la legislación aplicable

De acuerdo con el alcance a las disposiciones jurídicas aplicables, The Design Store establece como el marco normativo, legal y jurídico aplicable las siguientes disposiciones:

• LFPDPPP, Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

9.1.2Protección de los documentos de la organización

La dirección será la encargada brindar los mecanismos para resguardar la información y documentación crítica de la organización, incluyendo la información relacionada con propiedad de clientes. Estos medios garantizarán la protección contra la pérdida o destrucción de la información.

Los medios para resguardo podrán incluir archiveros con cerradura, digitalización de documentos críticos y póliza de seguros.

​

9.1.3Protección de datos y privacidad de la información de carácter personal

Conforme a la legislación aplicable en materia de protección de datos y privacidad de la información, en la página web de The Design Store se encontrará disponible para consulta la política de manejo y uso de la información personal dentro de dicho sistema.