Organización:  ICQ24 Versión del Documento: 2.12 Fecha de Vigencia: 1 de Enero, 2023
Objetivo: Esta política tiene como objetivo asegurar que todos los activos de información que respaldan el negocio y su información sean gestionados de manera adecuada para proteger su confidencialidad, integridad y disponibilidad.
Alcance: Esta política se aplica a todos los empleados, proveedores y terceros que interactúan con los activos de información de ICQ24.
Política:
1. Identificación de Activos de Información: Todos los activos de información, incluyendo hardware, software, datos, documentos y servicios en la nube, deben ser identificados y clasificados según su valor para el negocio, su sensibilidad y los requisitos reglamentarios y legales pertinentes.
2. Protección de Activos de Información: Los activos de información deben ser protegidos mediante controles de seguridad adecuados, que pueden incluir el cifrado de datos, el control de acceso, el monitoreo de seguridad y la protección física.
3.  Uso Adecuado de Activos de Información: Los empleados y proveedores deben utilizar los activos de información solo para los fines del negocio y de acuerdo con las políticas y procedimientos de ICQ24. No está permitido el uso no autorizado, la modificación, la divulgación, la destrucción o el robo de los activos de información.
4.  Retención y Eliminación de Activos de Información: Los activos de información deben ser retenidos de acuerdo con los requisitos legales y del negocio y deben ser eliminados de manera segura cuando ya no sean necesarios.
5.  Cumplimiento: La violación de esta política puede resultar en acciones disciplinarias, hasta e incluyendo la terminación del empleo o contrato.
Publicación: Esta política será publicada y accesible a todos los empleados y proveedores pertinentes a través del canal de TEAMS de ICQ24.
Implementación: ICQ24 se compromete a implementar esta política y a tomar medidas disciplinarias en caso de violaciones.

El presente documento establece las directrices y mejores prácticas para el manejo de la ciberseguridad en la empresa ICQ24, utilizando la nube de Azure de Microsoft y sus componentes de seguridad. El objetivo principal es garantizar la protección de los activos de información y la continuidad del negocio frente a amenazas cibernéticas. Se espera que todos los empleados, contratistas y terceros cumplan con las políticas y procedimientos establecidos en este documento.

La Política de Seguridad de la Información (en adelante, Política) persigue la adopción de un conjunto de medidas destinadas a preservar la confidencialidad, integridad y disponibilidad de la información, que constituyen los tres componentes básicos de la seguridad de la información, y tiene como objetivo establecer los requisitos para proteger la información, los equipos y servicios tecnológicos que sirven de soporte para la mayoría de los procesos de negocio de ICQ24.

El objetivo de esta Política es definir los principios y las reglas básicas para la gestión de la seguridad de la información. El fin último y de esta manera lograr que ICQ24 garantice la seguridad de la información y minimicen los riesgos derivados de un impacto provocado por una mala gestión.

Este documento es aplicable a toda la información generada, procesada, almacenada y transmitida por ICQ24, sin importar su formato o medio, incluyendo información electrónica y en papel. Se aplica a todos los empleados, contratistas y terceros que manejen información en nombre de ICQ24. Aplica para todas las divisiones donde opera ICQ24 en las diferentes regiones geográficas donde tiene presencia.

1.1. CLASIFICACION DE LA INFORMACION
ICQ24 implementará un sistema de clasificación de la información para asegurar su protección adecuada. La clasificación se basará en los criterios de confidencialidad, integridad y disponibilidad de la información. Se establecerán los siguientes niveles de
clasificación:
1. Información Pública: Aquella que no requiere ninguna protección especial y puede ser divulgada al público en general.
2. Información Interna: Aquella que tiene cierto grado de sensibilidad y solo debe ser accesible por personal autorizado dentro de ICQ24.
3. Información Confidencial: Aquella que es altamente sensible y requiere un manejo y protección especial para prevenir su divulgación no autorizada.
4. Información Restringida: Aquella que es de máxima sensibilidad y solo debe ser accesible por un grupo selecto de individuos autorizados dentro de ICQ24.
1.2. RESPONSABILIDAD
• Designar un Responsable de la Información que será el encargado de supervisar y asegurar el cumplimiento de las políticas y procedimientos de manejo de la información en ICQ24 dentro de cada área de trabajo específico.
• Todos los empleados, contratistas y terceros deben cumplir con las políticas y procedimientos establecidos en este documento y ser responsables de proteger la información a la que tienen acceso.
1.3. PROTECCION
• Establecer controles de acceso adecuados para garantizar que solo elpersonal autorizado tenga acceso a la información confidencial o restringida 
• Implementar medidas de seguridad técnicas y físicas para proteger la información contra accesos no autorizados, pérdidas, robos o daños.

POLITICAS DE SEGURIDAD DE LA INFORMACIÓN

• Utilizar tecnologías de encriptación para proteger la información confidencial cuando se almacena o se transmite.
• Establecer políticas y procedimientos para la gestión de dispositivos de almacenamiento portátiles, como USB o discos externos, para prevenir la pérdida o divulgación no autorizada de información.
• Realizar copias de seguridad periódicas de la información crítica y establecer un plan de recuperación de desastres para garantizar la disponibilidad y recuperación de la información en caso de incidentes.
1.4. USO APROPIADO: • Establecer pautas claras sobre el uso apropiado de la información y las comunicaciones en ICQ24, incluyendo políticas sobre el uso de correos electrónicos.
• Prohibir el uso no autorizado o indebido de la información, incluyendo la divulgación no autorizada, la alteración o destrucción intencional de la información, y el acceso no autorizado a sistemas o bases de datos.
• Establecer políticas de uso de contraseñas seguras y renovación periódica de contraseñas para proteger el acceso a la información.
• Capacitar a todos los empleados, contratistas y terceros sobre las políticas y procedimientos de uso apropiado de la información, resaltando la importancia
de proteger la información confidencial y respetar los derechos de privacidad de los individuos.
• Establecer políticas y procedimientos para el manejo y disposición adecuada de la información cuando ya no sea necesaria, incluyendo la destrucción segura de la información en papel y el borrado seguro de la información almacenada electrónicamente.

El presente documento establece las directrices y mejores prácticas para el manejo de la ciberseguridad en la empresa ICQ24, utilizando la nube de Azure de Microsoft y sus componentes de seguridad. El objetivo principal es garantizar la protección de los activos de información y la continuidad del negocio frente a amenazas cibernéticas. Se espera que todos los empleados, contratistas y terceros cumplan con las políticas y procedimientos establecidos en este documento de seguridad de la data.
2.1. ALCANCE
Este documento es aplicable a todos los sistemas y servicios de ICQ24 que se encuentren alojados en la nube de Azure de Microsoft. Cubre aspectos relacionados con la seguridad de la infraestructura, protección de datos, acceso y autenticación, monitoreo y detección, y cumplimiento legal y regulaciones.
2.2. POLITICA DE SEGURIDAD
a. Clasificación y Manejo de la Información:

 - Definir una política de clasificación de la información según su nivel de
confidencialidad, integridad y disponibilidad.
- Establecer procedimientos para el manejo seguro de la información, incluyendo almacenamiento, transmisión y eliminación de la misma.
b. Accesos y Autenticacion:
- Implementar una política de contraseñas seguras, que incluya requisitos de longitud, complejidad y caducidad
- Establecer procedimientos para la gestión de usuarios y sus privilegios de acceso.
- Utilizar la autenticación multifactor para aumentar la seguridad de los accesos.
- Creacion de maquinas virtuales como punto de entrada y no acceder directo a los servidores.
c. Protección de los sistemas.
- Mantener actualizados los sistemas operativos, aplicaciones y servicios en la nube con los últimos parches de seguridad.
- Utilizar soluciones antivirus y antimalware actualizadas en todos los sistemas y servicios.
- Establecer políticas de seguridad para dispositivos móviles y acceso remoto, como la encriptación y autenticación.
d. Respaldo y Recuperación de Datos
- Realizar respaldos periódicos de los datos almacenados en la nube de Azure, asegurando su integridad y disponibilidad.
- Establecer planes de recuperación de desastres y continuidad del negocio, con pruebas y actualizaciones regulares.
e. Componentes de seguridad en Azure.
se cuenta con múltiples servicios corriendo en el entorno de Azure tales como Azure Security Center, Azure Firewall, Azure Information Protection, Azure
Sentinel, Azure Backup, Azure Identity Protection, Azure Advanced Threat Protection entre otros componentes de seguridad de la red.

2.3. RESPONSABILIDAD Y PROCEDIMIENTOS
f. Designar un responsable de seguridad de la información en ICQ24 para supervisar y gestionar la implementación de las políticas y medidas de seguridad en Azure.
g. Establecer procedimientos claros para la gestión de incidentes de seguridad, incluyendo la notificación, investigación, mitigación y documentación de los incidentes.
h. Realizar auditorías y revisiones regulares de los sistemas y servicios en Azure para asegurar el cumplimiento de las políticas y detectar posibles vulnerabilidades o brechas de seguridad.
i. Fomentar la concienciación y capacitación en seguridad cibernética entre los empleados de ICQ24, incluyendo buenas prácticas de seguridad, detección de phishing y gestión de contraseñas.
2.4. EVALUACION Y MEJORAS
j. Realizar evaluaciones periódicas de la postura de seguridad en Azure, revisando y actualizando las políticas y medidas de seguridad según las nuevas amenazas y tecnologías emergentes.
k. Participar en programas de certificación y cumplimiento de seguridad en la nube, como la certificación de cumplimiento de Microsoft Azure.
l. Establecer un canal de retroalimentación para que los empleados de ICQ24 informen de posibles problemas de seguridad o sugerencias de mejora.
m. Documentar y mantener actualizado el presente documento de Manejo de Ciberseguridad en Azure, asegurando que esté disponible para todos los empleados y partes interesadas.

El presente documento de Manejo de la Información establece las políticas y procedimientos necesarios para garantizar la confidencialidad, integridad y disponibilidad de la información en ICQ24. Es esencial que todos los empleados, contratistas y terceros comprendan y cumplan con estas políticas para proteger la información y preservar la reputación y el cumplimiento legal de la organización. Se recomienda revisar y actualizar periódicamente este documento para adaptarse a los cambios en las regulaciones y a las necesidades de la organización.

Y también establece las políticas y procedimientos para el manejo de la ciberseguridad en la empresa ICQ24 utilizando la nube de Azure de Microsoft y sus componentes de seguridad.
La implementación de estas medidas permitirá proteger los activos de información, garantizar la confidencialidad, integridad y disponibilidad de los datos, y fortalecer la postura de seguridad de la organización frente a las amenazas cibernéticas. Se recomienda revisar y actualizar este documento de manera regular para adaptarse a los cambios en el entorno de seguridad y las necesidades de la organización.