Manual del Sistema de Gestión de Seguridad de la Información
Revisión: 01
Fecha: 4 de noviembre del 2025
Clasificación: Confidencial
0. Presentación
El presente manual tiene como propósito describir, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI) establecido por Ofelia Tech S.A.P.I. de C.V., en adelante Luxelare.
Este SGSI se basa en la norma internacional ISO/IEC 27001:2022 "Seguridad de la información, ciberseguridad y protección de la privacidad — Sistemas de gestión de la seguridad de la información — Requisitos".
0.1 Política de Seguridad de la Información
En Luxelare, como proveedor líder de soluciones de análisis predictivo para el ecosistema agrícola de América Latina, entendemos que la información es uno de nuestros activos más críticos. La confianza de nuestros clientes, socios, inversionistas y colaboradores depende de nuestra capacidad para protegerla.
Por ello, la Dirección de Luxelare se compromete a proteger la confidencialidad, integridad y disponibilidad de toda la información gestionada a través de nuestra plataforma Captum y nuestros procesos internos.
1. Alcance
Esta política aplica a toda la organización, incluyendo a todos los colaboradores, directivos, contratistas y cualquier tercero que, en el desempeño de sus funciones, tenga acceso a los activos de información o a los sistemas de Luxelare, independientemente de su ubicación física o modalidad de trabajo.
2. Compromiso de Luxelare
La alta dirección de Luxelare se compromete a:
- Alinear la gestión de seguridad de la información con el propósito estratégico de la organización para habilitar la innovación y la confianza en el sector agrotecnológico.
- Establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI) eficaz.
- Garantizar la protección adecuada de los activos de información, con especial énfasis en los datos de nuestros clientes y la propiedad intelectual de la plataforma Captum, frente a amenazas internas o externas, deliberadas o accidentales.
- Promover una cultura organizacional basada en la responsabilidad personal, la concienciación en seguridad, el cumplimiento de políticas y el reporte oportuno de incidentes.
- Cumplir con todos los requisitos legales, regulatorios, contractuales y de negocio aplicables a nuestras operaciones en México y América Latina.
- Proporcionar los recursos humanos, tecnológicos y financieros necesarios para la implementación y operación eficaz del SGSI.
- Establecer un marco de referencia para definir, medir y revisar periódicamente los objetivos de seguridad de la información.
3. Principios de Seguridad de la Información
Los pilares fundamentales que rigen la seguridad de la información en Luxelare son:
- Confidencialidad: Asegurar que la información solo sea accesible para las personas autorizadas que la requieran para el cumplimiento de sus funciones.
- Integridad: Garantizar la exactitud, completitud y validez de la información y de los algoritmos de procesamiento, protegiéndola contra modificaciones no autorizadas.
- Disponibilidad: Asegurar que los colaboradores y clientes autorizados tengan acceso a la información y a los servicios de la plataforma Captum cuando sea requerido.
4. Obligaciones del Personal
Todo el personal de Luxelare tiene la responsabilidad de:
- Conocer y cumplir con esta política y con los procedimientos de seguridad que de ella se deriven.
- Participar activamente en los programas de capacitación y concienciación en seguridad de la información.
- Reportar de forma inmediata cualquier debilidad, evento o incidente de seguridad de la información observado.
- Proteger los activos de información de acuerdo con su clasificación y sensibilidad, aplicando siempre el buen juicio y la debida diligencia.
5. Revisión y Actualización
Esta política será revisada por la alta dirección como mínimo una vez al año, así como cuando ocurran cambios significativos en el negocio, el entorno tecnológico, legal o en los resultados del SGSI, para asegurar su continua idoneidad y eficacia.
0.2 Objetivos de seguridad de la información
Para dar soporte a la Política de Seguridad, Luxelare establece los siguientes objetivos generales:
- Proteger la Confidencialidad e Integridad de los Datos del Cliente: Asegurar que los datos operativos, productivos y financieros de nuestros clientes, gestionados en la plataforma Captum, estén protegidos contra el acceso y la modificación no autorizada.
- Asegurar la Disponibilidad de la Plataforma Captum: Mantener la disponibilidad de nuestros servicios de acuerdo con los niveles de servicio comprometidos con los clientes, implementando una infraestructura de nube robusta y planes de continuidad.
- Salvaguardar la Propiedad Intelectual: Proteger nuestros algoritmos, modelos predictivos y el código fuente de la plataforma Captum contra robo, pérdida o divulgación no autorizada.
- Gestionar los Riesgos de Seguridad: Identificar, evaluar y tratar los riesgos de seguridad de la información de manera sistemática para reducirlos a un nivel aceptable.
- Fomentar la Competencia y Conciencia en Seguridad: Asegurar que todo el personal, incluidos aquellos en modalidad de trabajo remoto, reciba la formación y concientización necesarias para cumplir con sus responsabilidades de seguridad.
- Garantizar el Cumplimiento: Cumplir de manera continua con las obligaciones legales, regulatorias y contractuales relevantes para la seguridad de la información y la protección de datos personales.
1. Alcance
El Sistema de Gestión de Seguridad de la Información de Luxelare protege la información gestionada a través de los procesos de diseño, desarrollo, implementación, soporte y mantenimiento de la plataforma tecnológica Captum, la cual ofrece soluciones de análisis predictivo para la industria agrícola.
El alcance cubre al personal que opera desde las oficinas corporativas y en la modalidad de trabajo remoto.
2. Referencias
- ISO/IEC 27001:2022: Seguridad de la información, ciberseguridad y protección de la privacidad — Sistemas de gestión de la seguridad de la información — Requisitos.
- ISO/IEC 27002:2022: Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información.
3. Términos y Definiciones
- Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información.
- SGSI: Sistema de Gestión de Seguridad de la Información.
- Activo: Cualquier bien que tiene valor para la organización.
- Confidencialidad: Propiedad de que la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
- Disponibilidad: Propiedad de ser accesible y utilizable por una entidad autorizada cuando lo requiera.
- Integridad: Propiedad de salvaguardar la exactitud y completitud de los activos.
Incidente de seguridad de la información: Un evento o serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad signif2icativa de comprometer las operaciones de negocio y amenazar la seguridad de la información.
Riesgo: Efecto de la incertidumbre sobre los objetivos. - Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.
- Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.
- Control: Medida que modifica el riesgo. (Nota: Las medidas pueden incluir procesos, políticas, dispositivos, prácticas u otras acciones).
4. Contexto de la Organización
4.1 Comprender la Organización y su Contexto
La Dirección General de Luxelare es responsable de determinar los aspectos externos e internos que son relevantes para nuestro propósito estratégico y que afectan a la capacidad del SGSI para lograr sus resultados previstos.
4.1.1 Contexto Externo
Luxelare opera en el dinámico sector de la agrotecnología (Ag-Tech) en América Latina. El contexto externo está marcado por:
- Oportunidades: Una creciente demanda de digitalización y agricultura de precisión en la industria, especialmente en el sector de la caña de azúcar en México y Centroamérica. La certificación ISO 27001 se ve como un diferenciador clave para captar nuevos clientes.
- Amenazas: Un panorama de ciberamenazas en constante evolución, incluyendo ataques de ransomware y ciberataques dirigidos. Cambios en la regulación sobre protección de datos y la competencia en el mercado tecnológico.
4.1.2 Contexto Interno
El contexto interno de Luxelare se define por:
- Misión: Ser el principal proveedor de análisis predictivo y soluciones de apoyo a la toma de decisiones en América Latina para operaciones dispersas, transformando datos complejos en decisiones claras.
- Cultura: Fomentamos una cultura de alto rendimiento, responsabilidad personal, transparencia radical y flexibilidad. Operamos con un modelo de "contexto, no control", confiando en el juicio de nuestros colaboradores.
- Fortalezas: Contamos con personal altamente capacitado, una cultura ágil, y utilizamos servicios en la nube de proveedores líderes (AWS, Google Cloud) que garantizan alta seguridad y disponibilidad.
- Debilidades: Reconocemos la necesidad de formalizar procesos, gestionar los riesgos asociados al trabajo remoto y al uso de dispositivos personales (BYOD), y reducir la dependencia del personal clave. El SGSI es una acción directa para tratar estas debilidades.
4.2 Entendimiento de las Necesidades y Expectativas de las Partes Interesadas
Luxelare ha identificado las partes interesadas relevantes para el SGSI, así como sus necesidades y expectativas en materia de seguridad.
| Matriz de Partes Interesadas | |||
| Parte Interesada | Necesidades | Expectativas | Impacto en el SGSI |
| Internas | |||
| Alta Dirección y Equipo Ejecutivo | • Asegurar el crecimiento y la rentabilidad del negocio. • Mitigar riesgos operativos y estratégicos que afecten los objetivos. • Contar con información precisa para la toma de decisiones estratégicas. | • Que el SGSI funcione como un habilitador de negocio y una ventaja competitiva. • Mantener la confianza de clientes e inversionistas a través de un compromiso visible con la seguridad. • Cumplimiento de todas las leyes y regulaciones aplicables. | Alto |
| Consejo de Administración | • Cumplimiento legal, ético y normativo de la organización. • Supervisión efectiva de la gestión de riesgos de la compañía. • Proteger el valor de la inversión y la reputación de la empresa. | • Recibir informes claros y transparentes sobre el estado de la seguridad de la información. • Garantizar que la empresa opera con los más altos estándares de integridad. • Que se proteja adecuadamente la propiedad intelectual (software, algoritmos) de Luxelare. | Alto |
| Colaboradores (Empleados) | • Un ambiente de trabajo flexible y basado en la confianza y responsabilidad. • Herramientas y recursos para realizar su trabajo de forma segura y eficiente, tanto en la oficina como en el teletrabajo. • Protección de su información personal. | • Políticas de seguridad claras y prácticas, que ofrezcan contexto en lugar de control excesivo. • Capacitación y concientización continua sobre sus responsabilidades en seguridad de la información. • Canales seguros y confidenciales para reportar incidentes o inquietudes. | Alto |
| Luxelare Core Team y Desarrolladores | • Acceso seguro y eficiente a los entornos de desarrollo, datos y producción. • Infraestructura tecnológica escalable y segura para la innovación (IA/ML). • Procesos que permitan el desarrollo y despliegue ágil de nuevas funcionalidades. | • Que los controles de seguridad no impidan la agilidad, sino que la faciliten. • Mantener la integridad y confidencialidad del código fuente y los algoritmos propietarios. • Colaboración segura con socios de desarrollo externos como Servinformación. | Alto |
| Externas | |||
| Clientes (Ingenios Azucareros, Productores), Ingenio Tala | • Confidencialidad, integridad y disponibilidad de su información operativa y de negocio. • Una plataforma (Captum) robusta, segura y confiable que les ayude a mitigar sus riesgos y mejorar su rendimiento. • Soporte técnico experto y eficiente. | • Cumplimiento de todos los acuerdos contractuales y de confidencialidad. • Transparencia en el manejo de sus datos y notificación oportuna en caso de un incidente de seguridad. • Que Luxelare demuestre su compromiso con la seguridad, preferiblemente a través de certificaciones como ISO 27001. | Alto |
| Inversionistas | • Proteger su inversión asegurando la continuidad del negocio y la protección de los activos críticos. • Minimizar los riesgos financieros y de reputación asociados a incidentes de seguridad. | • Que la propiedad intelectual, principal activo de la empresa, esté debidamente protegida contra robo o mal uso. • Una gestión de riesgos de seguridad profesional que asegure la viabilidad y escalabilidad del negocio a largo plazo. • Alcanzar la rentabilidad proyectada, la cual depende de la confianza del mercado en la seguridad de Captum. | Alto |
| Proveedores y Socios Estratégicos (Ej. Servinformación , proveedores de datos ) | • Canales de comunicación e intercambio de información seguros. • Requisitos de seguridad claros y definidos en los contratos. • Relación comercial transparente y de largo plazo. | • Que Luxelare proteja la información confidencial compartida en el marco de la relación comercial. • Definir y gestionar de forma segura los accesos a sistemas y entornos de Luxelare cuando sea necesario para la prestación del servicio. • Cumplimiento de los términos contractuales y de pago. | Alto |
| Organismos Reguladores y Gubernamentales (SAT, STPS, Autoridades de Protección de Datos) | • Cumplimiento de la legislación aplicable en materia fiscal, laboral y de protección de datos personales. | • Que la empresa opere de forma legal y transparente. • Demostrar la debida diligencia en la protección de datos personales de empleados y clientes para evitar sanciones. | Alto |
| Asociaciones de Productores | • Soluciones tecnológicas que aporten un valor real y tangible a sus miembros. • Un socio tecnológico confiable y con profundo conocimiento del ecosistema agrícola. | • Que Luxelare actúe como un socio ético y transparente. • Que la plataforma Captum sea segura y proteja la información de los productores individuales. | Medio |
| Advisory Board (Consejo Asesor) | • Acceso a la información estratégica necesaria para poder ofrecer orientación de valor. | • Que la información sensible y estratégica compartida con ellos sea manejada con la máxima confidencialidad. • Que la empresa mantenga una reputación de integridad y liderazgo en la industria. | Medio |
4.3 Determinación del Alcance del Sistema de Gestión de Seguridad de la Información
Considerando el contexto de la organización (4.1) y los requisitos de las partes interesadas (4.2), el alcance del SGSI es el definido en la sección 1 de este manual.
Oficinas cubiertas por el alcance:
- Monte Caucaso 915, Despacho 302, Lomas de Chapultepec, Miguel Hidalgo, Ciudad de México, CP 11000.
Actividades de la Empresa dentro del Alcance: Para dar claridad al alcance, se incluyen las siguientes actividades principales de Luxelare que son gestionadas por el SGSI:
- Diseño, desarrollo, prueba y mantenimiento de la plataforma tecnológica de agricultura de precisión "Captum".
- Provisión de servicios de análisis predictivo y soluciones de apoyo a la toma de decisiones para la industria agrícola.
- Procesamiento y análisis de datos geoespaciales, incluyendo imágenes satelitales, información meteorológica y datos de producción agrícola de clientes.
- Procesos de comercialización y venta de los servicios de la plataforma Captum.
- Actividades de soporte técnico, capacitación y digitalización para clientes.
- Gestión de la infraestructura tecnológica en la nube (AWS, Google Cloud) que soporta la operación.
- Gestión administrativa y de recursos humanos que apoya a la operación.
4.4 Sistema de Gestión de Seguridad de la Información
Luxelare establece, implementa, mantiene y mejora continuamente un SGSI, de acuerdo con los requisitos de la norma ISO/IEC 27001:2022.
El SGSI se fundamenta en un enfoque basado en procesos para gestionar la seguridad de la información de manera integral. Los procesos de la organización que interactúan y que son relevantes para el SGSI han sido identificados y clasificados de la siguiente manera, según el modelo adoptado por la empresa:
Procesos Estratégicos Son aquellos destinados a definir y controlar las metas de la organización, sus políticas y estrategias. Involucran al personal de primer nivel y guían la dirección del SGSI.
- Planeación estratégica: Proceso mediante el cual la Alta Dirección define los objetivos de negocio y se asegura de que la estrategia de seguridad de la información esté alineada con ellos.
- Seguridad de la información: El macroproceso que constituye el SGSI mismo, abarcando la gestión de riesgos, la definición de políticas y la supervisión general de la seguridad en Luxelare.
- Auditoría Interna: Proceso para verificar de manera independiente que el SGSI cumple con los requisitos de la norma y con las políticas internas, y qu
- e se mantiene de forma eficaz.
Procesos Clave Son los procesos centrales que impulsan la creación y entrega de valor a nuestros clientes. La seguridad en estos procesos es fundamental para la confianza y la continuidad del negocio.
- Comercial: Incluye las actividades de desarrollo de negocio, ventas y contratación con clientes. Es responsable de comunicar las capacidades de seguridad de Luxelare y de establecer acuerdos contractuales seguros.
- Desarrollo de solución: Comprende el ciclo de vida completo de la plataforma Captum, desde el análisis de requisitos y el diseño de la arquitectura hasta la codificación, prueba y despliegue de nuevas funcionalidades.
- Soporte Técnico: Proceso encargado de proporcionar asistencia a los clientes, resolver incidentes funcionales y técnicos, y gestionar las solicitudes de los usuarios, actuando como la primera línea de defensa y detección.
Procesos de Apoyo son aquellos que proporcionan la infraestructura y los recursos necesarios para que los procesos clave y estratégicos operen eficazmente.
- Gestión de Capital Humano: Abarca el reclutamiento, contratación, capacitación y gestión del personal, asegurando que los colaboradores tengan las competencias y la conciencia de seguridad necesarias.
- Gestión financiera: Proceso que gestiona los recursos financieros de la organización, incluyendo la presupuestación para las iniciativas y herramientas de seguridad.
- Información documentada: Se encarga del control de la creación, revisión, aprobación, distribución y mantenimiento de toda la documentación del SGSI.
- Continuidad del servicio: Proceso enfocado en la planificación y preparación para garantizar que la plataforma Captum y las operaciones críticas puedan recuperarse y continuar operando ante un desastre o interrupción grave.
5. Liderazgo
5.1 Compromiso y Liderazgo
La Dirección General de Luxelare demuestra su liderazgo y compromiso con el SGSI asegurando que la política y los objetivos de seguridad sean establecidos y compatibles con la dirección estratégica, garantizando la integración de los requisitos del SGSI en los procesos de negocio, y proveyendo los recursos necesarios para su éxito.
5.2 Política
La Dirección General ha establecido la política de seguridad de la información en la sección 0.1 de este manual, asegurando que sea apropiada para el propósito de Luxelare y comunicada a toda la organización.
5.3 Roles, Responsabilidades y Autoridades
La Dirección General ha asignado las siguientes responsabilidades y autoridades clave para el SGSI:
- La responsabilidad general de asegurar que el SGSI se implemente y se mantenga conforme a la norma, y de informar sobre su desempeño a la Dirección, recae en
Francisco de la Fuente.
- La responsabilidad de asegurar el cumplimiento de la legislación y regulación en materia de protección de datos personales recae en
Manuel A. Richter.
Las responsabilidades de seguridad específicas para todos los colaboradores se definirán en los documentos pertinentes del SGSI.
5.4 Organigrama
- Consejo de Administración
- Presidente: Antonio X. Cortina Gallardo
- Miembros: Manuel A. Richter, René Martinez Saenz, Santiago Cortina Gallardo, David Ekman, Elena Cruz
- Comisario
- C.P. José Gerardo García Castro
- Advisory Board (Consejo Asesor)
- Equipo Ejecutivo
- Manuel A. Richter (CEO)
- Responsable de Cumplimiento de Protección de Datos Personales
- Antonio X. Cortina Gallardo (CRO)
- René Martinez Saenz (COO)
- Manuel A. Richter (CEO)
- Luxelare Core Team (reportando a la Dirección Ejecutiva)
- Heberto Lopez (Captum Product Manager)
- Francisco de la Fuente (Client Digitalisation)
- Responsable del SGSI
- Luis Valenzuela (Lead Full-stack Developer)
- Full-stack Developer (a seleccionar)
- Full-stack Developer (a seleccionar)
- Christian Ladron (Release Engineer)
- AI/ML Specialist (a contratar)
- Soporte al Cliente (a contratar)
6. Metodología de Gestión de Riesgos y Oportunidades del SGSI
6.1 Objetivo
Establecer un proceso sistemático para identificar, analizar, evaluar y tratar los riesgos y oportunidades de seguridad de la información, con el fin de proteger nuestros activos críticos, tomar decisiones informadas y apoyar el logro de los objetivos estratégicos de Luxelare.
6.2 Alcance
Esta metodología aplica a todos los activos, procesos y servicios dentro del alcance del Sistema de Gestión de Seguridad de la Información (SGSI).
6.3 Proceso de Gestión de Riesgos
Nuestro proceso de gestión de riesgos es un ciclo continuo y colaborativo, liderado por el Responsable del SGSI con la participación activa de los propietarios de los activos y la alta dirección.
Paso 1: Identificación de Riesgos y Oportunidades
Se identifican los riesgos (eventos que podrían causar un impacto negativo) y las oportunidades (eventos que podrían generar un beneficio) que podrían afectar la confidencialidad, integridad y disponibilidad de nuestros activos de información.
- Fuentes de identificación: Análisis del contexto (FODA), inventario de activos, resultados de auditorías, incidentes pasados, nuevas tecnologías, cambios en la legislación, etc.
Paso 2: Análisis y Evaluación de Riesgos
Cada riesgo identificado se analiza para determinar su nivel, utilizando dos dimensiones: Probabilidad e Impacto.
- Probabilidad: La posibilidad de que el riesgo se materialice.
- Impacto: La magnitud del daño al negocio si el riesgo se materializa.
El Nivel de Riesgo se calcula multiplicando Probabilidad x Impacto. Este valor nos permite priorizar los riesgos en una matriz para determinar cuáles requieren tratamiento inmediato.
Paso 3: Tratamiento de Riesgos
Para cada riesgo evaluado, especialmente aquellos con un nivel de riesgo "Alto" o "Extremo", se define un plan de tratamiento. Las opciones son:
- Mitigar/Reducir: Implementar controles para reducir la probabilidad o el impacto del riesgo. Esta es la opción más común.
- Transferir: Compartir el riesgo con un tercero (ej. contratando un seguro o externalizando un servicio).
- Aceptar: Asumir el riesgo de forma consciente cuando el costo del tratamiento supera el beneficio. Esta decisión debe ser aprobada por la Alta Dirección.
- Evitar: Modificar el proceso o la actividad para eliminar el riesgo por completo.
Paso 4: Monitoreo y Revisión
La matriz de riesgos es un documento vivo. Se revisa al menos una vez al año o cuando ocurran cambios significativos en el negocio. El Responsable del SGSI da seguimiento continuo a los planes de tratamiento para asegurar su implementación y eficacia.
6.4 Criterios de Valoración de Riesgos
Tabla de Probabilidad
| Nivel | Valor | Descripción |
| Casi Seguro | 5 | Se espera que ocurra en la mayoría de las circunstancias (una o más veces al año). |
| Probable | 4 | Es muy posible que ocurra (una vez cada 1-2 años). |
| Posible | 3 | Podría ocurrir en algún momento (una vez cada 2-5 años). |
| Improbable | 2 | No se espera que ocurra, pero es concebible (una vez cada 5-10 años). |
| Raro | 1 | Solo ocurriría en circunstancias excepcionales (menos de una vez cada 10 años). |
Tabla de Impacto
| Nivel | Valor | Descripción del Impacto en el Negocio |
| Catastrófico | 5 | Consecuencias devastadoras: pérdida masiva de datos de clientes, interrupción prolongada de Captum (>24h), daño reputacional severo, incumplimiento legal grave, impacto financiero muy alto. |
| Mayor | 4 | Consecuencias graves: pérdida o alteración de datos de un cliente importante, interrupción significativa del servicio (8-24h), daño a la reputación, incumplimiento legal, impacto financiero alto. |
| Moderado | 3 | Consecuencias notables: pérdida o alteración de datos internos, interrupción parcial o breve del servicio (<8h), quejas de clientes, impacto financiero moderado. |
| Menor | 2 | Consecuencias limitadas: inconvenientes operativos, retrabajo para el equipo, impacto financiero bajo. |
| Insignificante | 1 | Consecuencias mínimas: impacto casi nulo en la operación, sin impacto financiero o reputacional. |
Matriz de Nivel de Riesgo
| Insignificante (1) | Menor (2) | Moderado (3) | Mayor (4) | Catastrófico (5) | |
| Casi Seguro (5) | 5 (Bajo) | 10 (Moderado) | 15 (Alto) | 20 (Extremo) | 25 (Extremo) |
| Probable (4) | 4 (Bajo) | 8 (Moderado) | 12 (Alto) | 16 (Extremo) | 20 (Extremo) |
| Posible (3) | 3 (Bajo) | 6 (Moderado) | 9 (Moderado) | 12 (Alto) | 15 (Alto) |
| Improbable (2) | 2 (Bajo) | 4 (Bajo) | 6 (Moderado) | 8 (Moderado) | 10 (Moderado) |
| Raro (1) | 1 (Bajo) | 2 (Bajo) | 3 (Bajo) | 4 (Bajo) | 5 (Bajo) |
- Riesgo Extremo (16-25): Requiere acción inmediata de la Alta Dirección.
- Riesgo Alto (12-15): Requiere un plan de tratamiento definido y supervisado por la dirección.
- Riesgo Moderado (6-10): Se debe gestionar mediante procedimientos de rutina.
Riesgo Bajo (1-5): Generalmente se acepta, pero se mantiene bajo observación.
7. Soporte
7.1 Procedimiento para la Gestión de Activos de Información
7.1.1 Objetivo
Establecer un proceso sistemático para identificar, clasificar, valorar y gestionar los activos de información de Luxelare, con el fin de asegurar que reciban un nivel de protección adecuado en función de su importancia para el negocio.
7.1.2 ¿Qué es un Activo de Información?
En Luxelare, un activo de información es cualquier recurso, tangible o intangible, que almacena, procesa o transmite información de valor para la compañía. Un activo no es solo el dato en sí, sino también la infraestructura y el software que le dan soporte.
7.1.3 Categorías de Activos
Para facilitar su identificación, los activos de Luxelare se agrupan en las siguientes categorías principales. Es importante ser específico para permitir una valoración de riesgos precisa.
- Información y Datos: Es el activo más valioso. Incluye las bases de datos de clientes, los datos de producción agrícola, los modelos de Machine Learning, la información financiera, los contratos y la propiedad intelectual.
- Software: Aplicaciones y herramientas que utilizamos para crear y entregar nuestros servicios.
- Infraestructura Tecnológica: Los componentes de hardware y de red que soportan nuestras operaciones.
- Activos Físicos: Equipos proporcionados por la empresa, como laptops y dispositivos móviles.
- Personas: Nuestros colaboradores, con su conocimiento, experiencia y habilidades.
- Servicios Externos: Servicios de terceros que son clave para nuestra operación.
7.1.4 Proceso de Gestión de Activos
Paso 1: Identificación y Registro
El primer paso es identificar los activos. Este es un esfuerzo colaborativo liderado por el Responsable del SGSI junto con los líderes de cada área. Cada activo registrado debe tener un Propietario asignado, que es la persona responsable de su protección y uso adecuado.
Paso 2: Clasificación de la Información
Antes de valorar un activo, debemos entender y clasificar el tipo de información que maneja. En Luxelare, utilizamos el siguiente esquema de clasificación:
| Clasificación | Descripción | Ejemplos |
| Pública | Información creada para ser compartida con el público. Su divulgación no representa ningún riesgo. | Material de marketing, contenido del sitio web público. |
| Uso Interno | Información para el uso exclusivo de los colaboradores de Luxelare. Su divulgación no autorizada podría causar un inconveniente o un daño moderado. | Documentación interna de proyectos, políticas no públicas, minutas de reuniones. |
| Confidencial | Información sensible cuya divulgación no autorizada podría causar un daño significativo al negocio, a los clientes o a los socios (financiero, legal, reputacional). Requiere controles de acceso estrictos. | Datos de producción de clientes, información financiera de Luxelare, datos personales de empleados, contratos. |
| Secreto de Empresa | Nuestra propiedad intelectual más crítica. Su divulgación causaría un daño grave y podría comprometer nuestra ventaja competitiva. El acceso está extremadamente restringido. Prohibir la reproducción de este tipo de información. | Código fuente de Captum, algoritmos de ML propietarios, resultados de análisis predictivos. |
Paso 3: Valoración del Activo
Una vez clasificada la información, se valora el activo que la procesa.
Paso 3.1: Valoración de la Tríada CIA
Se valora el activo según la Confidencialidad (C), Integridad (I) y Disponibilidad (A) usando la escala de 0 (Bajo), 1 (Medio) y 2 (Alto).
| Valor | Confidencialidad | Integridad | Disponibilidad |
| 2 (Alto) | Maneja información de tipo Secreto de Empresa o Confidencial. | Su alteración detendría la operación o corrompería resultados críticos. | Su falta de disponibilidad detiene la operación del negocio o incumple contratos. |
| 1 (Medio) | Maneja información de Uso Interno. | Su alteración causaría ineficiencias o requeriría retrabajo. | Su falta de disponibilidad causa retrasos pero no detiene la operación crítica. |
| 0 (Bajo) | Maneja información Pública. | Su alteración tiene un impacto mínimo y es fácilmente corregible. | Su falta de disponibilidad es un inconveniente menor. |
Paso 3.2: Determinación del Valor del Activo
El Valor del Activo se calcula tomando el valor más alto obtenido en la valoración de la tríada CIA, lo que determina su nivel de criticidad.
| Valor Máximo de CIA | Valor del Activo | Nivel de Criticidad |
| 2 | Alto | Crítico para el negocio. Requiere los controles de seguridad más estrictos. |
| 1 | Medio | Importante para la operación. Requiere controles de seguridad estándar. |
| 0 | Bajo | De soporte. Requiere controles de seguridad básicos. |
Paso 4: Mantenimiento del Inventario
El inventario de activos es un documento vivo y debe ser revisado anualmente o cuando ocurran cambios significativos.
7.2 Procedimiento de Atracción y Selección de Talento
7.2.1 Objetivo
Establecer un marco de trabajo flexible y eficaz para la atracción, evaluación y selección de nuevos colaboradores, asegurando que cada contratación fortalezca nuestro equipo con talento excepcional, alineado con nuestros valores y comprometido con la seguridad de la información.
7.2.2 Alcance
Este procedimiento aplica a todos los procesos de contratación para puestos en Luxelare, ya sean de tiempo completo, parcial o por proyecto.
7.2.3 Filosofía de Contratación
En Luxelare, no solo llenamos vacantes; construimos un equipo de alto rendimiento. Nuestra filosofía se basa en los siguientes principios:
- Calidad sobre Cantidad: Nos enfocamos en encontrar a la persona adecuada, no en cumplir con una cuota de candidatos. Reconocemos que el talento es escaso y estamos dispuestos a ser pacientes y creativos para encontrarlo.
- Agilidad y Rapidez: Nuestro proceso está diseñado para ser eficiente y respetuoso con el tiempo de los candidatos y del equipo. Eliminamos pasos innecesarios para poder tomar decisiones rápidas cuando encontramos al candidato ideal.
- Decisión Colaborativa: La contratación es una responsabilidad compartida. El líder del equipo que contrata (Hiring Manager) lidera el proceso, pero la decisión final se toma con el consenso del equipo ejecutivo para garantizar el alineamiento estratégico y cultural.
- Seguridad desde el Diseño: La seguridad no es un filtro al final del proceso, sino un componente integral desde el inicio. Evaluamos la mentalidad y el compromiso con la seguridad en cada fase.
7.2.4 Responsabilidades
- Líder del Equipo (Hiring Manager): Es el dueño del proceso. Define la necesidad, redacta la descripción del puesto, lidera las entrevistas técnicas y de equipo, y hace la recomendación final.
- Equipo Ejecutivo (CEO/COO): Aprueba la creación de nuevas posiciones, participa en la entrevista final para evaluar el ajuste estratégico y cultural, y da la aprobación final para la oferta.
- Responsable del SGSI: Asesora en la inclusión de los requisitos de seguridad en el proceso, participa en la evaluación de la conciencia de seguridad del candidato y valida los controles de seguridad antes de la contratación.
7.2.5 Descripción del Proceso
Fase 1: Definición de la Necesidad y el Rol
- Justificación del Rol: El Líder del Equipo identifica la necesidad de una nueva contratación y la discute con el Equipo Ejecutivo, enfocándose en cómo el nuevo rol contribuirá a los objetivos de Luxelare.
- Aprobación: El CEO/COO aprueba la creación del puesto.
- Descripción del Puesto: El Líder del Equipo redacta o actualiza la descripción del puesto, detallando responsabilidades, requisitos técnicos, habilidades blandas y, de manera explícita, las responsabilidades de seguridad de la información asociadas al rol.
Fase 2: Búsqueda y Atracción de Candidatos
- Estrategia de Búsqueda: Se priorizan los canales más efectivos, como redes profesionales (LinkedIn), referencias de nuestro equipo y contactos en la industria, y comunidades especializadas. La publicación en portales de empleo es una opción secundaria.
- Primer Contacto: El enfoque es personalizado y transparente, presentando claramente la oportunidad y la cultura de Luxelare.
Fase 3: Proceso de Evaluación y Entrevistas
El proceso es flexible y se adapta al rol, pero generalmente sigue estos pasos:
- Entrevista Inicial (Líder del Equipo): Una conversación para evaluar la experiencia general, el interés en Luxelare y la alineación inicial con nuestros valores. Se presenta una visión realista del rol y la empresa.
- Evaluación Técnica: Puede ser una conversación técnica profunda, una sesión de pair programming o un pequeño reto práctico para resolver. El objetivo es evaluar la competencia técnica y la forma de pensar, no aplicar un examen estandarizado.
- Entrevista con el Equipo: El candidato conversa con uno o dos miembros del equipo con los que trabajaría directamente. Se evalúa la colaboración, la comunicación y la dinámica de equipo.
- Evaluación de Comportamiento (Opcional, según el rol): Para roles con acceso a información altamente sensible o con un alto nivel de autonomía, se podrán utilizar evaluaciones complementarias para entender mejor la adecuación del candidato. Estas pueden incluir:
- Prueba de Razonamiento Lógico: Evalúa capacidad de análisis y resolución de problemas.
- Prueba de Honestidad e Integridad: Identifica tendencias hacia conductas éticas y cumplimiento de normas.
- Prueba de Tolerancia al Estrés: Determina la capacidad del candidato para manejar situaciones de presión.
- Prueba de Trabajo en Equipo: Analiza la colaboración y compatibilidad en entornos grupales.
- Entrevista Final (CEO/COO): Una conversación enfocada en la visión a largo plazo, el encaje cultural y estratégico. En esta fase, el Responsable del SGSI puede participar para tener una conversación final sobre la filosofía y responsabilidades de seguridad.
Fase 4: Verificación y Selección Final
- Verificación de Antecedentes: Con el consentimiento del candidato, se realizan verificaciones adecuadas al nivel de riesgo del puesto. Esto puede incluir la confirmación de empleos anteriores y referencias. Para puestos con acceso a información altamente sensible, se pueden considerar verificaciones adicionales.
- Decisión de Contratación: El Líder del Equipo presenta su recomendación final al Equipo Ejecutivo. La decisión se toma de forma colaborativa.
Fase 5: Oferta y Contratación
- Oferta Formal: Se presenta una oferta formal por escrito al candidato seleccionado, detallando las condiciones económicas, la fecha de inicio y los beneficios.
- Acuerdos de Confidencialidad: Antes del inicio, el candidato debe firmar el Acuerdo de Confidencialidad y No Divulgación (NDA) como parte del contrato laboral.
Fase 6: Integración (Onboarding)
- Preparación: Antes del primer día, se prepara el equipo necesario (laptop, accesos iniciales).
- Inducción de Seguridad: El primer día, el Responsable del SGSI dirige una sesión de inducción obligatoria sobre la Política de Seguridad, el uso aceptable de los activos y las responsabilidades individuales.
- Asignación de Accesos: Los accesos a sistemas y repositorios se otorgan siguiendo el principio de mínimo privilegio, proveyendo únicamente lo necesario para el desempeño de sus funciones.
7.2.6 Consideraciones de Seguridad en el Proceso
- Confidencialidad: Toda la información de los candidatos se trata como confidencial y solo se comparte con las personas directamente involucradas en el proceso de selección.
- Acuerdo de Confidencialidad (NDA): Es un requisito indispensable para la contratación.
- Verificación de Antecedentes: Se realiza de manera proporcional al riesgo del puesto y siempre con el consentimiento del candidato.
- Principio de Mínimo Privilegio: Los accesos se conceden de forma gradual y controlada desde el primer día.
7.2.7 Control de Registros
La documentación clave del proceso (descripción del puesto, CV del candidato contratado, oferta firmada y NDA) se almacena de forma segura en el expediente digital del colaborador en Google Drive, con acceso restringido al personal autorizado.
7.2.8 Revisión y Mejora Continua
Este procedimiento será revisado anualmente por el Equipo Ejecutivo y el Responsable del SGSI para asegurar que sigue siendo eficaz, ágil y alineado con las necesidades de Luxelare.
7.3 Plan Anual de Capacitación y Concientización en Seguridad de la Información
7.3.1 Objetivo y Filosofía
El objetivo de este plan es asegurar que todos los colaboradores de Luxelare posean el conocimiento, las habilidades y la conciencia necesarios para proteger nuestros activos de información y contribuir activamente a la eficacia de nuestro Sistema de Gestión de Seguridad de la Información (SGSI).
En línea con nuestra cultura de desarrollo personal y responsabilidad, este plan combina capacitaciones formales con actividades continuas para fomentar una mentalidad de seguridad en todas nuestras operaciones diarias.
7.3.2 Tipos de Capacitación
Nuestro programa se estructura en tres niveles para asegurar que la formación sea relevante y efectiva:
- Inducción (Onboarding): Capacitación obligatoria para todos los nuevos colaboradores, enfocada en los fundamentos de nuestra política de seguridad y las responsabilidades individuales desde el primer día.
- General y de Concientización: Formación dirigida a todo el personal para mantener y reforzar la cultura de seguridad, cubriendo temas como la gestión de contraseñas, la identificación de phishing y el uso seguro de las herramientas.
- Especializada: Capacitación técnica y específica dirigida a roles con responsabilidades críticas en la seguridad de la información, como el equipo de desarrollo, el responsable del SGSI y la alta dirección.
7.3.4 Medición de la Eficacia
La eficacia de este plan se medirá a través de:
- Resultados de las evaluaciones o pruebas al final de cada curso.
- Resultados de las campañas de simulación de phishing (tasa de clics, tasa de reportes).
- Reducción en el número de incidentes de seguridad causados por error humano.
- Resultados de las auditorías internas del SGSI.
7.3.5 Responsabilidades
- El Responsable del SGSI es el encargado de coordinar y dar seguimiento a la ejecución de este plan.
- La Alta Dirección es responsable de proveer los recursos necesarios para su implementación.
- Los Líderes de Equipo son responsables de asegurar la participación de sus colaboradores en las capacitaciones programadas.
7.4 Guía de Comunicación del SGSI
7.4.1 Filosofía de Comunicación
En Luxelare, la comunicación es un pilar de nuestra cultura de transparencia radical, responsabilidad personal y alto alineamiento. Confiamos en el juicio de nuestros colaboradores para comunicar de manera proactiva y eficaz.
Sin embargo, la transparencia y la flexibilidad no eximen de la responsabilidad individual de acusar recibo, responder y actuar ante la información, especialmente aquella que es crítica para la seguridad y la continuidad de nuestras operaciones. El propósito de esta guía es asegurar que la información relevante llegue a las personas correctas, en el momento oportuno, y que se gestione con la atención que merece.
7.4.2 Niveles de Prioridad y Protocolos de Acción
Para asegurar que la información importante reciba la atención adecuada, establecemos tres niveles de prioridad para las comunicaciones internas:
Nivel 1: URGENTE / CRÍTICA
- ¿Qué es?: Incidentes de seguridad en curso, caídas de sistemas críticos, vulnerabilidades de alto impacto, alertas de desastres. Requiere acción inmediata.
- Protocolo de Comunicación:
- Canal Primario: Mensaje en el canal de Google Chat #alerta-seguridad usando una mención @all. El mensaje debe ser claro y conciso, indicando la naturaleza de la emergencia.
- Confirmación Obligatoria: Todo el personal involucrado en la respuesta debe confirmar la recepción en el mismo chat (ej. "Enterado", "Revisando").
- Canal de Escalada: Si no hay confirmación del responsable principal en 15 minutos, se debe escalar a través de WhatsApp al grupo de emergencia y/o contactar directamente al siguiente nivel en el organigrama.
- Principio: "Ver es actuar". Ignorar una alerta de este nivel es una falta grave a la responsabilidad personal.
Nivel 2: IMPORTANTE / ACCIÓN REQUERIDA
- ¿Qué es?: Cambios en políticas clave del SGSI, hallazgos de auditorías que requieren acción, decisiones estratégicas que afectan a un equipo, solicitudes formales de información. Requiere acción en un plazo definido.
- Protocolo de Comunicación:
- Canal Primario: Correo Electrónico con un asunto claro que indique la necesidad de acción (ej. "[ACCIÓN REQUERIDA]", "[DECISIÓN NECESARIA]").
- Notificación Secundaria: Se puede enviar un mensaje de apoyo por Google Chat para notificar del envío del correo importante.
- Plazo de Respuesta: Se espera una confirmación de lectura o una respuesta en un plazo máximo de 24 horas hábiles.
Nivel 3: INFORMATIVA
- ¿Qué es?: Boletines de seguridad, anuncios generales, lecciones aprendidas, minutas de reuniones rutinarias, actualizaciones de proyectos. No requiere una acción inmediata.
- Protocolo de Comunicación:
- Canal Primario: Canales generales de Google Chat, correo electrónico o documentación en Jira y GitLab.
- Plazo de Respuesta: No se requiere confirmación ni respuesta obligatoria. Se confía en la responsabilidad del colaborador para mantenerse informado.
7.4.3 Canales de Comunicación
Para facilitar una comunicación ágil y efectiva, utilizamos un conjunto de herramientas específicas. Los canales principales para la comunicación relacionada con el SGSI son:
- Google Workspace (Chat, Mail, Meet):
- Uso Interno: Google Chat es la herramienta principal para comunicaciones rápidas, discusiones en tiempo real y coordinación de equipos. Se utilizan canales específicos (ej. #seguridad, #desarrollo) para mantener las conversaciones organizadas. WhatsApp se utilizará exclusivamente para comunicaciones internas urgentes o de emergencia cuando los canales principales no estén disponibles.
- Uso Externo: Google Mail (Correo Electrónico) se utiliza para todas las comunicaciones formales con clientes y proveedores, especialmente cuando se requiere un registro escrito.
- WhatsApp puede usarse para comunicaciones informales o de seguimiento con clientes.
- Google Meet se utiliza para reuniones de equipo, revisiones estratégicas, sesiones de capacitación y talleres de análisis de riesgos.
- Jira:
- Uso: Para comunicar, asignar y dar seguimiento a tareas específicas de seguridad, como la corrección de vulnerabilidades, la implementación de controles o las acciones correctivas derivadas de una auditoría.
- GitLab:
- Uso: Para comunicar aspectos técnicos de seguridad directamente en el código, a través de comentarios en merge requests, wikis de desarrollo y documentación técnica dentro del repositorio.
- Repositorio Central de Documentación (Google Drive):
Uso: Como repositorio central y fuente única de verdad para toda la información documentada del SGSI, incluyendo políticas, procedimientos, guías y registros.
7.5 Información Documentada7.5.1 Generalidades
El Sistema de Gestión de Seguridad de la Información (SGSI) de Luxelare establece, mantiene y controla la información documentada necesaria para garantizar la eficacia de sus procesos y el cumplimiento de los requisitos de la norma ISO/IEC 27001:2022.
La información documentada comprende tanto los documentos requeridos por la norma como aquellos que la organización determina necesarios para la planificación, operación y mejora del sistema. Esta incluye políticas, procedimientos, lineamientos, formatos, registros, planes, instructivos y evidencias relacionadas con la seguridad de la información.
7.5.2 Creación y Actualización
La información documentada deberá ser:
Aprobada por la autoridad competente antes de su emisión.
Revisada y actualizada según corresponda para asegurar su pertinencia, adecuación y eficacia.
Identificada adecuadamente, incluyendo título, código, fecha de emisión, revisión vigente, responsable y estatus de aprobación.
Redactada con un lenguaje claro, conciso y coherente, conforme al formato institucional definido.
Toda modificación o actualización deberá registrarse en el control de cambios y seguir el flujo de aprobación establecido en Zendesk, mediante el módulo de gestión de conocimiento o equivalente.
7.5.3 Control de la Información Documentada
La organización utiliza Zendesk como plataforma oficial para el almacenamiento, control, acceso y distribución de toda la información documentada del SGSI.
A través de Zendesk, se garantiza:Accesibilidad controlada: Cada usuario accede únicamente a la información documentada que corresponde a su rol o nivel de autorización.
Integridad: Se asegura que los documentos estén protegidos contra alteraciones no autorizadas, manteniendo versiones controladas y registro histórico.
Disponibilidad: Los documentos se encuentran disponibles en formato digital dentro del portal de Zendesk, accesible desde cualquier ubicación autorizada.
Confidencialidad: Los permisos de visualización y edición se gestionan mediante los perfiles definidos en la plataforma.
Trazabilidad: Zendesk conserva un registro de revisiones, aprobaciones, comentarios y fechas de modificación.
Los documentos obsoletos se conservan únicamente con fines de referencia, debidamente identificados como “No vigentes”, y se almacenan en una sección restringida dentro de Zendesk para evitar su uso no autorizado.
7.5.4 Información Documentada Externa
La información de origen externo (por ejemplo, normativas, marcos regulatorios, contratos, lineamientos gubernamentales o de clientes) que sea necesaria para la operación del SGSI también se controla a través de Zendesk.
Estos documentos se registran en la base de conocimiento con una clasificación especial y se etiquetan como “documentación externa controlada”, indicando su fuente y fecha de revisión.7.5.5 Conservación y Retención
Los periodos de retención de la información documentada se definen conforme al procedimiento de control documental, considerando requisitos legales, regulatorios, contractuales y de negocio.
Zendesk se utiliza para mantener la información vigente y programar revisiones periódicas automáticas o alertas de vencimiento, asegurando la eliminación segura de los registros una vez cumplido su periodo de conservación.
8. Operación8.1 Planificación y Control Operacional
Luxelare planifica, implementa y controla los procesos necesarios para cumplir los requisitos del Sistema de Gestión de Seguridad de la Información (SGSI) y para aplicar las acciones determinadas para abordar riesgos y oportunidades (ver secciones 6.1 y 6.2).
a) Control de procesos
Los procesos definidos dentro del alcance del SGSI se gestionan de acuerdo con los procedimientos y controles documentados en la plataforma Zendesk, donde se establecen flujos operativos, responsables, criterios de aceptación y evidencias de cumplimiento.
Cada proceso cuenta con su propio registro digital en Zendesk, lo que permite:
Asignación de tareas y responsables.
Seguimiento del estado de ejecución.
Control de versiones de documentos operativos.
Vinculación de incidentes, hallazgos o desviaciones relacionadas.
b) Gestión de cambios
Los cambios planificados que puedan afectar la seguridad de la información son evaluados antes de su implementación.
Zendesk se utiliza como repositorio para registrar las solicitudes de cambio, su evaluación de impacto, aprobación y evidencia de cierre, garantizando la trazabilidad y el cumplimiento de los controles aplicables.c) Contratación de servicios externos
Cuando se subcontratan procesos o servicios que afectan la seguridad de la información (por ejemplo, servicios de nube, soporte técnico, mantenimiento o desarrollo de software), la organización:
Evalúa previamente los riesgos asociados.
Define los controles contractuales pertinentes.
Supervisa el desempeño del proveedor.
8.2 y 8.3 Evaluación y tratamiento de Riesgos.
El procedimiento para el tratamiento y evaluación de riesgos se define en el apartado 6.1 y 6.2 de la presente política.
9. Evaluación del Desempeño
9.1 Seguimiento, Medición, Análisis y Evaluación
Luxelare determina qué necesita ser monitoreado y medido dentro del SGSI, los métodos que deben emplearse, la frecuencia con la que deben realizarse las evaluaciones y los responsables de su ejecución, con el fin de garantizar la eficacia del sistema y la conformidad con los objetivos de seguridad de la información.
a) Objetivos de medición
Los indicadores de desempeño del SGSI se diseñan para evaluar:
La eficacia de los controles de seguridad implementados.
El cumplimiento de los objetivos de seguridad de la información.
La eficiencia de la respuesta ante incidentes.
El nivel de madurez del sistema y el grado de cumplimiento normativo.
9.2 Auditoría Interna
Luxelare lleva a cabo auditorías internas planificadas para proporcionar información objetiva sobre el grado de conformidad del SGSI con los requisitos de la norma ISO/IEC 27001:2022 y con los requisitos internos definidos por la organización.
a) Planificación
El Programa de Auditoría Interna se elabora anualmente, considerando la importancia de los procesos y los resultados de auditorías previas.
Las auditorías son ejecutadas por personal competente e independiente de las actividades auditadas.
b) Ejecución
El proceso de auditoría incluye la revisión documental, entrevistas, verificación de evidencias y observaciones en sitio o de forma remota.
Las no conformidades, observaciones y oportunidades de mejora se registran en Zendesk, asignando responsables y fechas de compromiso.
9.3 Revisión por la Dirección
La Alta Dirección de Luxelare realiza revisiones planificadas del SGSI a intervalos determinados para asegurar su continua conveniencia, adecuación y eficacia.
a) Entradas a la revisión
Entre los insumos que se consideran están:
Resultados de auditorías internas y externas.
Retroalimentación de partes interesadas.
Estado de acciones correctivas y preventivas.
Desempeño de los controles y resultados de monitoreo.
Cambios en el contexto organizacional o en los requisitos legales, regulatorios o contractuales.
Recomendaciones de mejora.
b) Resultados de la revisión
Como resultado de la revisión, la Dirección podrá definir:
Ajustes en los objetivos del SGSI.
Requerimientos de recursos.
Acciones para mejorar la eficacia del sistema.
Actualizaciones de políticas o procedimientos.
Todos los registros de las reuniones de revisión por la dirección, incluyendo minutas, acuerdos y compromisos, se conservan en Zendesk como evidencia del cumplimiento de este requisito.
10. Mejora
10.1 No Conformidad y Acción Correctiva
Cuando se identifica una no conformidad, ya sea durante las operaciones, auditorías o revisiones, Luxelare actúa de manera oportuna para:
Controlar y corregir la no conformidad.
Investigar sus causas para prevenir su recurrencia.
Implementar acciones correctivas proporcionales a la magnitud del problema y sus efectos.
El flujo de acciones correctivas se gestiona íntegramente en los formatos de acciónes correctivas correspondientes, permitiendo:
Registrar la no conformidad detectada.
Documentar la causa raíz y las acciones propuestas.
Asignar responsables y fechas de cumplimiento.
Verificar la eficacia de la acción antes del cierre del ticket.
Cada acción correctiva queda vinculada al proceso o control afectado, manteniendo trazabilidad y evidencia completa de su tratamiento.
10.2 Mejora Continua
Luxelare está comprometida con la mejora continua del Sistema de Gestión de Seguridad de la Información.
A través del análisis de resultados de desempeño, auditorías, revisiones y reportes de incidentes, se identifican oportunidades de mejora que son gestionadas mediante Zendesk, utilizando la funcionalidad de solicitudes de mejora o tickets de optimización.
Estas mejoras pueden incluir:
Implementación de nuevos controles o tecnologías.
Ajustes en políticas o procedimientos.
Fortalecimiento de la capacitación y concientización.
Incremento de la eficacia en la respuesta a incidentes o gestión de riesgos.
La Alta Dirección evalúa periódicamente el progreso de las acciones de mejora y sus resultados, asegurando la alineación del SGSI con los objetivos estratégicos y los principios de seguridad de la información.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.