POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD
Smart Global S.A.C. es una empresa especializada en consultoría, diseño, gestión de proyectos e implementación de soluciones de tecnología de la información (TI), colaborando con sus clientes para que sus recursos tecnológicos estén alineados con los objetivos del negocio. En ese marco, la Gerencia General se compromete a mantener la seguridad de la información y establece los siguientes lineamientos integrados, en cumplimiento con las normas ISO/IEC 27001:2022, ISO/IEC 27017 e ISO/IEC 27035.
-
1. Sistema de Gestión Integral
Establecer, operar, revisar y mejorar un sistema de gestión de seguridad de la información, ciberseguridad, gestión de incidentes y seguridad en la nube. Este sistema tiene como objetivo preservar la confidencialidad, integridad y disponibilidad de la información, asegurar la efectividad de los procesos, proteger la imagen institucional y adaptarse continuamente a nuevas amenazas y requerimientos regulatorios.
-
2. Gestión de riesgos y cumplimiento
Tratar permanentemente los riesgos a través de una metodología de gestión que identifique amenazas, vulnerabilidades e impactos, tanto en entornos locales como en la nube. Velar por el cumplimiento de normas legales, regulatorias y contractuales aplicables, así como los compromisos asumidos con terceros.
-
3. Protección de la información y datos personales
Proteger la información en todos los entornos mediante la implementación de controles técnicos, organizativos y de acceso adecuados, en función de la criticidad de los activos y los riesgos identificados, asegurando la confidencialidad, integridad y disponibilidad de la información.
La protección de los datos personales se regula en la Política de Privacidad de Datos Personales (SIG-SI-POL-13), en cumplimiento de la Ley N° 29733 y el DS 016-2024-JUS. -
4. Gestión de incidentes de seguridad
Contar con un proceso estructurado para la detección, notificación, evaluación, respuesta, recuperación y documentación de incidentes. Incluir incidentes relacionados con la nube, datos personales o amenazas operativas, y fomentar el aprendizaje para prevenir recurrencias.
-
5. Evaluación y seguridad en servicios en la nube
Seleccionar y gestionar proveedores de servicios cloud que cumplan con certificaciones y controles de seguridad adecuados. Establecer responsabilidades compartidas, evaluar SLAs, aplicar configuraciones seguras, eliminar información de forma segura y supervisar la actividad en entornos cloud para garantizar trazabilidad y cumplimiento.
-
6. Cultura organizacional y formación
Fomentar una cultura institucional orientada a la seguridad mediante la capacitación y sensibilización continua del personal en temas de seguridad de la información, ciberseguridad, gestión de incidentes y responsabilidades asociadas a entornos cloud.
-
7. Gobernanza y recursos
Garantizar el aprovisionamiento de los recursos necesarios y la asignación de responsabilidades claras para la operación y mejora continua del sistema de gestión. Designar equipos responsables para cada área crítica y asegurar el soporte de la alta dirección.
-
8. Supervisión y control de cumplimiento
Supervisar periódicamente el cumplimiento de esta política mediante auditorías, revisiones, monitoreo de controles y la aplicación de medidas correctivas o disciplinarias ante incumplimientos detectados.
