Política de Ciberseguridad
Versión actualizada en mayo de 2025
INTRODUCCIÓN
El cumplimiento de las directrices establecidas es responsabilidad de todos los que tienen acceso a los activos de tecnología de la información de Informes Verdes («Informes Verdes» o «Compañía») y sus aliados, tangibles o no, independientemente de la forma o el formato. Por lo tanto, es fundamental alcanzar niveles adecuados de protección de la información de Informes Verdes, de sus usuarios, compradores, consumidores, y afiliados.
DIRECTRICES
Informes Verdes tiene como objetivo llevar a cabo actividades para proteger la confidencialidad, integridad y disponibilidad de los datos y la ciberseguridad. El objetivo es alcanzar, entre otros, los siguientes objetivos:
I) Monitorear la efectividad de los procesos y controles implementados para reducir los riesgos de seguridad cibernética.
II) Identificación rápida de los riesgos emergentes de seguridad de la información para su tratamiento.
III) Mejora continua en la capacidad de prevenir, detectar y reducir la vulnerabilidad ante incidentes relacionados con el entorno cibernético.
IV) Promoción continua de una cultura de atención a la seguridad de la información y protección de los datos tratados por Informes Verdes, incorporándola en los procesos y procedimientos operativos.
PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN
El programa de Seguridad de la Información de Informes Verdes consiste en un amplio proceso que, en el marco de los principios y objetivos esbozados, orienta la implementación de controles e instrumentos de gestión de la información, entre los que se destacan:
• Clasificación de datos e información
La clasificación se determina en función del valor de la información, la sensibilidad, la criticidad, las obligaciones legales y contractuales, Informes Verdes define etiquetas para la clasificación de la información, que deben observarse y aplicarse internamente durante el procesamiento de la información.
• Derechos de propiedad
Informes Verdes garantiza el respeto de todos los aspectos de la propiedad intelectual presentes en su entorno y en sus operaciones. Es deber de todos abstenerse de utilizar la información o la propiedad intelectual de Informes Verdes para fines privados.
• Gestión y definiciones del uso de los activos de información
En Informes Verdes, los activos de información están protegidos contra accesos indebidos, y los empleados, afiliados y compradoresdeben observar las precauciones inherentes a cada actividad, actuando con integridad y discernimiento al utilizar los servicios de la Compañía.
• Gestión de accesos
Informes Verdes adopta procedimientos formales para administrar el acceso a todo su entorno de TI, incluidos los
procesos para otorgar, revocar, transferir, revisar y autenticar el acceso. • Gestión del cambio
Informes Verdes adopta diversos controles para la gestión de los procesos de revisión de código, la integridad y continuidad de los sistemas desarrollados, el seguimiento, el control de versiones, las pruebas y la gestión del ciclo de integración continua.
• Gestión de redes y encriptación
Al gestionar sus redes, Informes Verdes preserva el flujo seguro de datos entre los componentes de sus sistemas,
observando la segmentación de la red y el uso de estándares de configuración seguros y encriptación fuerte. • Gestión de vulnerabilidades
Informes Verdes realiza escaneos y pruebas recurrentes en su entorno de TI, por parte de un equipo especializado en pruebas de seguridad, para verificar fallas y vulnerabilidades en sus sistemas, que son tratadas por sus equipos de ciberseguridad y desarrollo seguro.
• Protección contra malware
Se implementan mecanismos de protección contra código malicioso en los puntos de entrada y salida de los sistemas de la empresa. Estos puntos incluyen, entre otros, firewalls, servidores de acceso remoto, estaciones de trabajo, servidores de correo electrónico, servidores web, servidores proxy y dispositivos móviles.
• Gestión de proveedores
A partir de la información recibida y de las comprobaciones internas, se evalúan los riesgos que conlleva la contratación de cada proveedor para garantizar el cumplimiento de las normas de ciberseguridad, privacidad de datos e información de la compañía, de acuerdo con los servicios prestados.
• Mantenimiento y análisis de registros de auditoría
Se implementan registros de auditoría automatizados para los componentes del sistema de Informes Verdes, lo que
permite el seguimiento de los eventos de seguridad, la autenticación y las acciones realizadas por los usuarios. • Prevención de fugas de información
Informes Verdes aplica el control de la transmisión de información en su entorno de TI, a través de soluciones automatizadas, que detectan, restringen y alertan sobre la circulación inadecuada de datos. Los controles están asociados a la clasificación de esta información.
• Gestión de copias de seguridad y contingencias
Con el fin de mantener y salvaguardar de forma segura los datos de Informes Verdes, se realizan copias de seguridad periódicas y pruebas de recuperación de las funcionalidades de sus sistemas para garantizar la continuidad de su funcionamiento.
• Capacitación y concientización sobre seguridad de la información
Para difundir el conocimiento y la mejora continua, Informes Verdes realiza capacitaciones y sensibilizaciones periódicas en materia de Ciberseguridad y Seguridad de la Información, abarcando a todos los empleados y terceros que acceden al entorno tecnológico de la Compañía.
• Gestión de incidencias
En caso de que el público externo identifique cualquier inconsistencia o falla en el entorno de Informes Verdes, la Compañía proporciona un canal para recibir la notificación correspondiente, por correo electrónico a cybersecurity@Informes Verdes.com.
Recomendaciones de seguridad para afiliados, compradores, clientes y usuarios de Informes Verdes:
Utilice contraseñas únicas: Evite el uso de contraseñas comunes o datos personales. Opta por crear contraseñas únicas y complejas, considerando el uso de combinaciones de letras, números y caracteres especiales.
Implemente la autenticación de dos factores (2FA): Fortalezca la seguridad de su cuenta habilitando la autenticación de dos factores siempre que sea posible. Esto agrega una capa adicional de protección al requerir una segunda forma de verificación además de la contraseña.
Tenga cuidado con los correos electrónicos sospechosos: Evite abrir correos electrónicos de remitentes desconocidos o con contenido sospechoso. Desconfíe de los enlaces o archivos adjuntos en los correos electrónicos no solicitados, ya que pueden contener malware o intentos de phishing.
Mantenga sus dispositivos actualizados: asegúrese de mantener su sistema operativo, aplicaciones y antivirus siempre actualizados para protegerse contra vulnerabilidades conocidas.
Tenga cuidado con los sitios web falsos: Verifique siempre la autenticidad de los sitios web a los que accede, especialmente cuando ingrese información personal o financiera. Busque señales de seguridad, como el candado verde en la barra de direcciones.
Protege tus dispositivos: Además de mantener tus contraseñas seguras, protege tus dispositivos con bloqueos de pantalla y contraseñas. Esto dificulta el acceso no autorizado en caso de pérdida o robo.
SANCIONES POR INCUMPLIMIENTO
El incumplimiento de los lineamientos del Programa de Seguridad de la Información, definidos en la presente Política, constituye una falta grave y conlleva la aplicación de sanciones por normas internas y externas, términos de uso, y demás normatividad vigente aplicable.
Cualquier empleado, proveedor de servicios, usuario o cliente que deliberadamente no informe de las violaciones de esta política también estará sujeto a las medidas mencionadas anteriormente.
Para ello, Informes Verdes pone a disposición un canal de denuncias a través del correo [email protected]
Informes Verdes garantiza a los denunciantes que actuamos de manera genuina y veraz: (a) anonimato y protección de sus identidades, si es necesario y solicitado; b) confidencialidad del proceso; c) imparcialidad en el análisis de los hechos denunciados; d) el derecho a la información sobre el desarrollo del caso; y e) Protección y no represalias.
