1. Objetivo 

La presente Política de Seguridad de la Información tiene como objetivo establecer un marco de referencia para la protección de la información de Maakal, Inc., garantizando su confidencialidad, integridad y disponibilidad. Esta política busca mitigar riesgos asociados a la gestión de la información, prevenir incidentes de seguridad y asegurar el cumplimiento de normativas y regulaciones aplicables, incluyendo la protección de la información de clientes. 

2. Alcance 

Esta política aplica a todos los empleados, contratistas, proveedores y terceros que accedan, procesen, almacenen o gestionen información de Maakal, Inc. Se extiende a todos los sistemas de información, bases de datos, dispositivos de almacenamiento y cualquier otro recurso tecnológico utilizado en la operación de la empresa. 

3. Definiciones 

Seguridad de la información: Conjunto de medidas y controles destinados a proteger la información contra accesos no autorizados, alteraciones o destrucciones. 

 Confidencialidad: Garantía de que la información solo es accesible por personas autorizadas. 

 Integridad: Asegurar que la información se mantiene exacta, completa y libre de modificaciones no autorizadas. 

 Disponibilidad: Garantía de que la información esté disponible cuando sea requerida por usuarios autorizados. 

 Incidente de seguridad: Evento que pone en riesgo la seguridad de la información. 

 Riesgo de seguridad de la información: Posibilidad de que una amenaza explote una vulnerabilidad, causando un impacto en la organización. 

 Proveedor: Empresa o entidad externa que suministra bienes, servicios o tecnologías a Maakal, Inc., y que debe cumplir con los requisitos de seguridad de la información establecidos en esta política. 

 Cliente: Persona o entidad que recibe servicios de Maakal, Inc., y cuya información debe ser protegida conforme a esta política. 

4. Responsables 

Alta dirección: La Alta Dirección es responsable de aprobar la política general de ciberseguridad y garantizar que esté alineada con los objetivos estratégicos de la organización.  

 CISO: Encargado de diseñar, implementar, mantener y revisar la política general de ciberseguridad. Además, lidera la gestión de riesgos relacionados con la información, coordina la implementación de controles, supervisa el cumplimiento de las políticas y reporta periódicamente a la Alta Dirección. 

Colaboradores: Todos los usuarios y colaboradores de la organización tienen la responsabilidad de cumplir con los lineamientos establecidos en la política de ciberseguridad. 

5. Descripción General 

Maakal, Inc. reconoce la importancia de la seguridad de la información en su operación y en la relación con sus empleados, clientes y proveedores. La información es un activo fundamental que debe ser protegido contra amenazas internas y externas para asegurar la continuidad del negocio y el cumplimiento de sus objetivos estratégicos. 

5.2. Principios de Seguridad 

• Se aplicará el principio de mínimo privilegio, limitando el acceso a la información solo a quienes lo requieran para sus funciones. 

• Se implementarán medidas de control de acceso, asegurando la autenticación y autorización adecuadas. 

• Se realizarán copias de seguridad periódicas para garantizar la disponibilidad de la información. 

• Se aplicarán controles criptográficos para la protección de datos sensibles. 

• Se establecerá un plan de respuesta a incidentes para mitigar posibles brechas de seguridad. 

• Se realizarán análisis de riesgos periódicos, identificando amenazas potenciales y aplicando medidas de mitigación adecuadas. 

• Se exigirá a los proveedores el cumplimiento de los estándares de seguridad y la notificación de incidentes relevantes. 
• Se garantizará la protección de la información de los clientes mediante procesos y controles adecuados. 

5.3. Gestión de Riesgos 

• Se realizarán evaluaciones de riesgos de seguridad de la información de manera periódica. 

• Se identificarán amenazas potenciales como ataques cibernéticos, errores humanos, fallos tecnológicos y desastres naturales. 

• Se evaluará el impacto y probabilidad de los riesgos, definiendo estrategias para reducir su impacto en la organización. 

• Se implementarán controles de seguridad basados en un enfoque de gestión de riesgos. 

• Se revisarán las políticas y procedimientos regularmente para adaptarse a nuevos riesgos emergentes. 

5.4. Gestión de Incidentes de Seguridad 

• Se establecerá un proceso formal de gestión de incidentes que incluirá la detección, notificación, análisis, contención, erradicación y recuperación ante incidentes de seguridad. 

• Se designará un equipo responsable de la respuesta a incidentes con roles y responsabilidades claramente definidos. 

• Todos los incidentes deberán ser reportados inmediatamente al Responsable de Seguridad de la Información. 

• Se realizará un análisis posterior al incidente para identificar causas raíz y evitar recurrencias. 

• Se mantendrán registros detallados de los incidentes de seguridad para futuras auditorías y mejoras en la política. 

• Se requerirá que los proveedores informen sobre cualquier incidente de seguridad que pueda afectar a Maakal, Inc. y a sus clientes. 

5.5 Cumplimiento y Auditoría 

• Se realizarán auditorías periódicas para evaluar el cumplimiento de la política. 

• Se sancionará cualquier incumplimiento de la política conforme a los procedimientos disciplinarios de la empresa. 

• Se actualizará la política de seguridad de forma periódica para adaptarse a nuevas amenazas y requisitos regulatorios. 

• Se exigirán auditorías de seguridad a proveedores clave para asegurar su conformidad con los requisitos de seguridad establecidos. 

5.6. Capacitación y Concienciación 

• Se llevarán a cabo programas de formación para todos los empleados en materia de seguridad de la información. 

• Se fomentará una cultura de seguridad basada en buenas prácticas y el cumplimiento de normativas. 

• Se incluirá capacitación específica en la gestión de riesgos para todos los empleados y colaboradores clave. 

• Se proporcionará formación a proveedores sobre las expectativas y requisitos de seguridad de Maakal, Inc. 

• Se capacitará a los empleados en el manejo seguro de la información de los clientes. 

5.7. Auditoria

Se realizarán auditorías internas y externas periódicas para evaluar el cumplimiento de la política, verificando la correcta implementación de medidas de seguridad y el cumplimiento de los estándares por parte de proveedores. Se documentarán hallazgos, se ejecutarán planes de mejora y se informará a la alta dirección sobre los resultados y avances en seguridad. 

6. Periodicidad 

La presente política deberá ser revisada periódicamente cada vez que se requiera (mínimo una vez al año). En caso de ser necesario, la política será ajustada con base en las condiciones que se presenten. 

De igual manera, se revisará en caso de que la normativa del país cambie. 

7. Sanciones 

El incumplimiento de esta política por parte de empleados, contratistas, proveedores o cualquier tercero vinculado podrá dar lugar a sanciones disciplinarias conforme a los reglamentos internos de Maakal, Inc., incluyendo amonestaciones, suspensión o terminación del contrato laboral o comercial. En casos graves, se podrán tomar acciones legales según la legislación vigente. Estas medidas también aplican ante negligencia en la protección de la información de clientes o ante la falta de reporte de incidentes de seguridad. 

8. Referencias 

Esta política se desarrolla en conformidad con la norma ISO/IEC 27001:2022, asegurando su alineación con las mejores prácticas internacionales en gestión de seguridad de la información.

9. Vigencia

Esta política entra en vigor a partir de su aprobación y es de obligatorio cumplimiento para todos los integrantes de Maakal, Inc.