logo mentu -vb
  • Inicio
  • Acerca de
  • Productos
    • Matemáticas
    • Shaia
  • Contáctanos
  • Blog
  • ES
    • EN

Política de seguridad de la información de Mentu
Alcance y objetivos.
 
La presente política se aplica a todos los servicios de Mentu, su infraestructura, su personal y contratistas. Aplicado a todos los procesos que gestionen, almacenen o transfieran información. 
Las medidas aquí definidas están enfocadas a proteger la información explícita e implícita durante su transferencia, uso y almacenamiento, bajo los principios de la confidencialidad, integridad y trazabilidad/concientización (CIA: confidentiality, integrity, accountability). 
 
Definiciones:
 

  • Información educativa: Datos de estudiantes/profesores vinculados al uso de los servicios de Mentu.

  • Cumplimiento: Alineación de los procesos y políticas con las normativas aplicables y buenas prácticas recomendadas.

  • Información: Activo crítico en cualquier formato (digital, físico, verbal) que requiere protección.

  • Bases de datos: Cualquier sistema de almacenamiento de información que contenga datos e información de los usuarios o servicios de Mentu. No se refiere únicamente a los servicios de plataforma en la nube sino también a cualquier otro medio.

  • Plataformas de infraestructura en la nube: cualquier servicio o conjunto de servicios que se presente a Mentu en formato SaaS, PaaS o IaaS.

  • Confidencialidad: Garantizar que la información solo sea accesible para personas o sistemas autorizados.

  • Integridad: Mantener la exactitud y completitud de la información, evitando modificaciones no autorizadas.

  • Disponibilidad: Asegurar que la información y los sistemas estén accesibles cuando se requieran.

  • Trazabilidad/concientización (accountability): Mantener registro de las acciones realizadas por los usuarios y que los usuarios mantengan claridad sobre lo que están realizando o hayan realizado.

  • Concientización: El conocimiento y nivel de alertamiento mínimo de los usuarios de los servicios con respecto a los riesgos que están presentes en sus acciones, así como las medidas necesarias para tratar el riesgo.

  • Activo de información: Cualquier recurso (datos, software, hardware, personal) que tenga valor para la organización.

  • Amenaza: Evento o acción que puede causar daño a los activos (ej.: malware, phishing, desastres naturales).

  • Vulnerabilidad: Debilidad en un sistema o proceso que puede ser explotada por una amenaza.

  • Riesgo: Probabilidad de que una amenaza aproveche una vulnerabilidad y cause impacto negativo.

  • Control de seguridad: Medida técnica, administrativa o física para mitigar riesgos (ej.: firewalls, políticas de acceso).

  • Incidente de seguridad: Evento que compromete la confidencialidad, integridad o disponibilidad de la información.

Principios:
 

  • Tríada CIA: Base de la seguridad de la información confidencialidad, integridad y disponibilidad.

  • Gestión de riesgos: Identificar, evaluar y tratar riesgos de forma proactiva.

  • Mínimo privilegio: Otorgar sólo los accesos necesarios para cumplir funciones específicas. Basándose en el sistema RBAC (Control de Acceso Basado en Roles).

  • Defensa en profundidad: Implementar múltiples capas de seguridad (física, lógica, administrativa), con el objetivo de mantener la protección incluso ante la falla de un control.

  • Cumplimiento legal y normativo: Respetar leyes, regulaciones y contratos relacionados con la protección de datos.

  • Concienciación y capacitación: Educar a empleados, socios y terceros sobre buenas prácticas de seguridad.

  • Respuesta a incidentes: Establecer protocolos para detectar, contener y recuperarse de incidentes.

  • Mejora continua: Revisar y actualizar la política ante cambios tecnológicos, organizativos o regulatorios.

  • Ciclo de vida de la información: Gestionar la información desde su creación hasta su eliminación segura (incluyendo backups y cifrado).

Política de protección y clasificación de activos. 
 
Clasificación de la información y niveles de confidencialidad.
 
Para gestionar la información de manera adecuada, se establece la siguiente clasificación: 
 
Este sistema clasifica la información en cuatro niveles según su sensibilidad y el riesgo para la privacidad: Pública, destinada a la libre difusión sin datos identificables; Interna, de uso exclusivo dentro de la organización, que puede incluir datos identificables o agrupados; Confidencial, con acceso restringido, contiene información sensible como datos educativos o privados; y Restringida, la más crítica, cuya divulgación puede causar daños significativos, incluyendo datos de menores, registros médicos o sensibles.
 
Esto se aplica a los servicios a estás políticas indicando su nivel de criticidad en caso necesitar o considerar divulgar la política de seguridad de la información.
Todo activo de información que no tenga una clasificación, debe tratarse como confidencial.
 
Protección y clasificación de activos.
Los activos de información pueden estar distribuidos en diferentes plataformas o sitios, presentarse de manera física o digital, por lo cual es necesario tenerlos mapeados y clasificados para su adecuada protección.
Es necesario mantener un inventario de información con mínimo, como lo es el ideintificador, clasificación  y ubicación del mismo.
Dicho inventario debe mantenerse actualizado y puede complementarse con un inventario de accesos.
 
Política de accesos y permisos.
 
Enfocada a todos los servicios que utilicen los empleados, usuarios, contratistas y usuarios servicios.

    • Los usuarios que deban tener acceso a información sensible o servicios críticos con altos privilegios deben usar mecanismos de autenticación múltiple. Así mismo, se recomienda la rotación de las credenciales y usar los mecanismo más robustos disponibles.

  • Los servicios críticos de uso infrecuente deben usar mecanismo de autenticación múltiple y credenciales robustas. 

  • Los usuarios que dispongan de cuentas institucionales deben usar dichas cuentas y no usar sus cuentas personales para asociar procesos o servicios a las mismas.

  • Los servicios que necesiten sistemas de autenticación y autorización deben usar usuarios de servicio y no cuentas personales.

  •  Las credenciales usadas para identificación en los servicios debe cumplir con unos elementos mínimos:

    • Tener una longitud mínima de caracteres probada como segura (a la fecha de la creación de está política está entre 8 y 10 caracteres).

    • Combinaciones alfanuméricas con caracteres especiales (&^%$!@*-).

    • Se recomienda el uso de gestores de contraseñas robustos.

    • Rotar las credenciales al menos cada seis meses.

    • No usar una misma credencial para diferentes servicios.

    • No usar credenciales con información personal o datos de identificación.

  • Se recomienda no usar MFA que estén disponibles en el mismo dispositivo.

  • No guardar las credenciales en texto o papeles adhesivos en los dispositivos o sitios de trabajo. 

  • Todo permiso o acceso será limitado a lo estrictamente necesario y no se asignan más permisos de los necesarios. 

  • Las credenciales son personales y no deben compartirse. 

  • Ante las bajas de personal se debe solicitar la inhabilitación  de las credenciales y accesos que disponga el usuario.

  • Se recomienda el manejo del escritorio limpio: Implica no mantener información confidencial o restringida a plena vista sin o sin vigilancia. Evitar tener notas adhesivas sobre credenciales, no dejar la sesión del dispositivo abierta.

  • Si el servicio lo permite, configurar el cierre automático de sesión tras un período de inactividad. Además, establecer el cierre de sesión al final del día, al cerrar el navegador o después de un tiempo definido.

Política de protección de sistemas de información digital.
 

  • Cifrado y tokenización:

    • Todos los datos sensibles, tanto en reposo como en tránsito, deben ser cifrados utilizando algoritmos de cifrado robustos.

    • Se utilizará la tokenización para proteger información que requiera procesamiento en entornos menos seguros.

    • Para el tratamiento de los datos se recomienda usar metodologías espejo o con sistemas de solo lectura.

  • Gestión de accesos:

    • Los accesos se definen según roles y responsabilidades, asegurando que cada usuario tenga el mínimo privilegio necesario.

    • Se implementan autenticación multifactor y registros de auditoría para monitorear accesos y cambios, de manera incremental en las aplicaciones y servicios que así lo permitan.

  • Hardening y seguridad en infraestructura:

    • Configuración segura de servidores, bases de datos y aplicaciones, basada en las buenas prácticas, así como 

      • Ejecución de evaluación  y revisiones de vulnerabilidades de forma continua, que permita la gestión de las vulnerabilidades más críticas en el menor tiempo.

      • Implementar un mecanismo de seguimiento y gestión de las vulnerabilidades, así como formación para evitar introducir vulnerabilidades en los nuevos productos desarrollados.

      • Aplicar las prácticas de desarrollo seguro, considerando la seguridad por diseño en la creación de productos digitales.

      • Segmentación y aislamiento de entornos de desarrollo con respecto a los de producción. Para esto se recomienda separar las claves secretas, las redes y los permisos entre cada ambiente.

    • Aplicar las medidas recomendadas en la política de uso aceptable y desarrollo seguro de la AI.

    • Se debe evitar el acceso público de servicios críticos, incluso si estos cuentan con sistema de autenticación. 

    • Es necesario realizar mantenimiento periódicos y actualizaciones a la infraestructura.

  • Monitoreo y registro:

    • Registro detallado de interacciones, accesos y operaciones críticas para facilitar auditorías y análisis forense.

    • Considerar herramientas de SIEM (Security Information and Event Management) para la detección temprana de incidentes.

  • Mecanismos para recoger sugerencias y reportes de incidentes de todos los colaboradores.

  • Transparencia en la comunicación:

    • Difusión clara y accesible de las actualizaciones de la política a través de sesiones informativas y publicaciones internas.

  • Mantener actualizado el software del sistema operativo y aplicaciones necesarias para el desarrollo de los productos. 

  • Utilizar sistemas de antivirus y las buenas prácticas en ciberseguridad en los dispositivos de trabajo. Los cuales se rigen bajo la política BYOD (Bring Your Own Device), procurando el uso de VPN y segmentando lo más posible la sesión o el usuario de desarrollo de sus aplicaciones de uso personal.

  • Trabajar con los datos preferiblemente en la nube, evitar la descarga y almacenamiento de información en el computador personal.

Política de gestión de incidentes de seguridad.
 
Un incidente de ciberseguridad debe manejarse con el mayor cuidado y manteniendo un registro de los eventos.
Los incidentes se pueden generar por diferentes amenazas, las cuales deben ser analizadas en el análisis de riesgo con sus respectivos controles de tratamiento. Estos controles pueden considerar Playbooks para cada una de las posibles amenazas.
Los incidentes debe categorizarse con los siguiente criterios: 
 
Definición de niveles de severidad.
 
  • Los incidentes se clasifican en cuatro niveles según su impacto: Nivel 1 (bajo) implica afectaciones mínimas sin comprometer la información; Nivel 2 (medio) incluye impactos moderados que requieren atención para evitar que escalen; Nivel 3 (alto) representa afectaciones significativas que pueden comprometer información crítica o la continuidad del negocio; y Nivel 4 (crítico) corresponde a incidentes graves que causan interrupciones mayores, pérdida de datos sensibles o comprometen la seguridad de toda la empresa.

     

Criterios para evaluar y graduar un incidente.
 

  • Impacto en la operación: Evaluar la afectación sobre la continuidad del negocio y la disponibilidad de servicios.

  • Alcance del incidente: Determinar la extensión en términos de sistemas, datos y usuarios afectados.

  • Confidencialidad: Analizar si se ha comprometido información sensible o confidencial.

  • Integridad: Verificar si la información ha sido alterada o manipulada de forma no autorizada.

  • Urgencia y tiempo de respuesta: Considera la rapidez necesaria para mitigar el incidente y prevenir mayores daños. 

Procedimiento para gestión del incidente.
 

  1. Se puede recibir la alerta por los sistemas de monitoreo o ante escaneos manuales. Está alerta debe ser presentada al personal idóneo para su análisis, correlación y verificación.

  2. Realizar un análisis preliminar utilizando los criterios de impacto, alcance, confidencialidad, integridad y urgencia para asignar un nivel provisional y un comandante de incidente.

  3. Considerar un plan de respuesta manteniendo un war room, identificando el tipo de amenaza y usando el playbook indicado en caso de que exista. Así mismo, se debe seguir el plan de comunicación definido en el plan de respuesta.

  4. Aplicar medidas de mitigación del incidente y activar mecanismo de continuidad de negocio aplicados.

  5. Realizar seguimiento del incidente después de mitigado, para validar su adecuado manejo.

  6. Registrar todas las acciones tomadas, decisiones y resultados para futuras auditorías y mejoras en el proceso de respuesta a incidentes.

Durante todo el proceso la comunicación entre el equipo, los stakeholders y los cliente debe manejar con base en el plan de comunicación. El principal autorizado para comunicarse con los clientes es el comandante de incidentes o quien el plan defina.
 
Política de plan de continuidad del negocio y recuperación ante desastres.
 
El plan de continuidad debe considerar los procesos más críticos y priorizar los mismos:
 

  • Identificar y priorizar los procesos y servicios esenciales para la operación de la empresa, evaluando el impacto que tendría la interrupción de cada proceso, considerando aspectos de la triada de seguridad (CIA) financieros, de reputación y legales.

  • Establecer el Tiempo Objetivo de Recuperación (RTO) y el Punto Objetivo de Recuperación (RPO) para cada proceso o sistema. Para considerar las alternativas de recuperación sostenibles para el negocio.

Para considerar un adecuado plan de continuidad de negocio se recomienda los siguientes elementos:
 

  • Implementar sistemas y servidores redundantes que permitan asumir la carga en caso de falla del sistema principal. En su defecto se puede aplicar sistema de despliegue y disponibilización rápido de los servicios afectados de manera automatizada.

  • Realizar backups periódicos de datos críticos y almacenarlos en ubicaciones seguras (por ejemplo, en la nube o en sitios offsite). 

  • Considerar utilizar soluciones de almacenamiento que permitan la replicación de datos en diferentes centros de datos.

  • Definir la frecuencia, métodos y responsables de la realización de backups. Así como realizar pruebas periódicas para asegurar la efectividad y rapidez en la restauración de datos.

  • Establecer un listado de sistemas y aplicaciones que requieren una recuperación prioritaria.

  • Documentar los pasos a seguir para la recuperación de cada sistema, incluyendo la reinstalación, configuración y verificación de integridad.

  • Determinar el orden en el cual se deben recuperar los sistemas, basándose en el impacto y la interdependencia entre ellos.

  • Considerar establecer acuerdos con proveedores críticos para asegurar el soporte y la reposición oportuna de equipos y servicios. O alternativas a los servicios.

  • Mantener actualizados los datos de contacto y protocolos de comunicación para coordinar acciones con proveedores y socios en caso de emergencia.

  • Desarrollar un plan de comunicación el cual debe considerar las comunicaciones externas e internas. El cual solo se activará ante incidentes graduados.

  • Designar un comité o equipo de respuesta que tenga la autoridad para activar el plan y coordinar las acciones de recuperación.

  • Mantener documentación y actualización de las lecciones aprendidas, así mismo documentar el proceso de registro de manera sistemática para posibles auditorías.

  • Se debe definir un esquema de informe Post-Mortem y su elaboración para simulacros e incidentes.
footer-img
En Mentu creemos que la educación de calidad es un derecho universal. La tecnología, lejos de ser un obstáculo, es nuestra aliada para hacerla accesible a todos.
  • Inicio
  • Acerca de
  • Productos
    • Matemáticas
    • Shaia
  • Contáctanos
  • Blog

created with ♥︎ by Mentu.