EGEROBOT
Sistema de Gestión de Seguridad de la Información

Política de Seguridad de la Información

Sistema de Gestión de Seguridad de la Información conforme con ISO 27001:2022, RGPD y KVKK

Última actualización: 2026-02-04

Propósito

EGEROBOT considera la información corporativa como un activo extremadamente valioso. La información es de importancia crítica para la sostenibilidad de nuestras actividades comerciales y debe protegerse adecuadamente.

EGEROBOT tiene como objetivo minimizar los riesgos que pueden surgir en cuanto a la confidencialidad, integridad y disponibilidad de la información corporativa mediante la implementación del estándar ISO 27001:2022 dentro del alcance del Sistema de Gestión de Seguridad de la Información (SGSI).

Nuestro objetivo principal es garantizar la confianza de las organizaciones e instituciones a las que servimos y asegurar los activos de información que utilizamos.

Alcance

El Sistema de Gestión de Seguridad de la Información de EGEROBOT abarca toda la organización, socios comerciales, proveedores y relaciones con clientes. Esta política se aplica a todas las actividades de procesamiento de información, incluidos entornos físicos, sistemas digitales, infraestructuras en la nube y entornos de trabajo remoto.

Compromisos

Como EGEROBOT y nuestros empleados, nos comprometemos a eliminar y gestionar todo tipo de riesgos para nuestra continuidad empresarial, activos de información y datos personales;

  1. 1Documentar, certificar y mejorar continuamente nuestro sistema de gestión de seguridad de la información
  2. 2Garantizar la confidencialidad, integridad y accesibilidad de la información de clientes, socios comerciales, partes interesadas, proveedores u otros terceros
  3. 3Asegurar el cumplimiento de todas las regulaciones legales y contratos relacionados con la seguridad de la información
  4. 4Realizar capacitaciones para desarrollar competencias técnicas y comportamentales
  5. 5Proteger la confidencialidad de datos críticos como objetivos estratégicos, fuentes de suministro, información de clientes, partes interesadas, socios comerciales y empleados
  6. 6Crear entornos físicos y electrónicos apropiados para la seguridad de los activos de información
  7. 7Proporcionar los planes e infraestructura técnica necesarios para garantizar la continuidad de nuestros servicios de TI
  8. 8Detectar situaciones contrarias a la seguridad de la información a tiempo y responder inmediatamente
  9. 9Tomar las medidas establecidas en la Ley de Protección de Datos Personales N° 6698
  10. 10Proteger todos los datos personales y activos de información de EGEROBOT y mejorar continuamente la seguridad de la información mediante la gestión de riesgos existentes y potenciales

nos comprometemos.

Marco Legal y Normas

Esta política ha sido preparada de conformidad con las siguientes regulaciones nacionales e internacionales:

Normas Internacionales

ISO/IEC 27001:2022Sistema de Gestión de Seguridad de la Información
ISO/IEC 27002:2022Controles de Seguridad de la Información
ISO/IEC 27701:2019Gestión de Información de Privacidad
ISO 22301:2019Sistema de Gestión de Continuidad del Negocio

Regulaciones de la UE

RGPDReglamento General de Protección de Datos – UE 2016/679
Directiva NIS2Seguridad de Redes y Sistemas de Información

Legislación Turca

Ley N° 6698 KVKKLey de Protección de Datos Personales
Ley N° 5651Regulación de Publicaciones en Internet
Ley N° 5237 TCKDelitos Cibernéticos (Artículos 243-246)
Ley N° 6102 TTKLibros Comerciales y Obligaciones de Conservación de Documentos

Principios Fundamentales

La política de seguridad de la información de EGEROBOT se basa en los siguientes principios:

Confidencialidad

  • La información está protegida contra el acceso no autorizado
  • No puede divulgarse intencional o negligentemente a personas no autorizadas
  • Se aplican clasificación de datos y control de acceso

Integridad

  • Se garantiza la precisión y consistencia de la información
  • Se aplican mecanismos de protección contra cambios no autorizados
  • Se mantienen registros de log y pistas de auditoría

Disponibilidad

  • Se garantiza el acceso oportuno a la información por usuarios autorizados
  • Se toman precauciones contra fallos del sistema
  • Se implementan planes de continuidad del negocio

Seguridad por Diseño

  • Los sistemas se desarrollan con enfoque de seguridad desde la fase de diseño
  • Se adopta el principio de privacidad por diseño

Categorías de Amenazas Modernas y Medidas

Ransomware

  • Estrategias de respaldo regulares y aisladas
  • Cifrado de datos contra ataques de doble extorsión
  • Sistemas de Detección y Respuesta de Endpoints (EDR)

Ingeniería Social y Phishing

  • Capacitaciones de concientización para empleados
  • Protocolos de verificación contra amenazas de deepfake potenciadas por IA
  • Filtros de seguridad de correo electrónico y configuración SPF/DKIM/DMARC

Amenazas Persistentes Avanzadas (APT)

  • Detección de amenazas basada en comportamiento
  • Segmentación de red
  • Arquitectura de Confianza Cero

Ataques a la Cadena de Suministro

  • Evaluación de riesgos de terceros
  • Análisis de componentes de software (SBOM)
  • Auditorías de seguridad de proveedores

Seguridad IoT y OT

  • Aislamiento de sistemas de control industrial
  • Inventario de dispositivos IoT y actualizaciones de seguridad
  • Monitoreo de tráfico de red

Política de Seguridad en la Nube

Principios Generales

  • Se verifican las certificaciones de seguridad de los proveedores de servicios en la nube
  • Se aplica la arquitectura de Confianza Cero
  • Los datos se cifran en tránsito y en reposo

Control de Acceso

  • La autenticación multifactor (MFA) es obligatoria
  • Se aplica el principio de mínimo privilegio
  • Se utiliza el control de acceso basado en roles (RBAC)

Seguridad de Configuración

  • Se utilizan herramientas de Gestión de Postura de Seguridad en la Nube (CSPM)
  • Se realizan auditorías de configuración regulares
  • Se garantiza la seguridad de las API

Política de Seguridad para Trabajo Remoto

Seguridad de Red

  • El uso de VPN es obligatorio
  • Se recomienda la configuración segura de redes domésticas
  • Los datos sensibles no se procesan en redes Wi-Fi públicas

Seguridad de Dispositivos

  • Los dispositivos que acceden a datos corporativos se cifran
  • El software antivirus actualizado y los parches de seguridad son obligatorios
  • Se aplica la Gestión de Dispositivos Móviles (MDM)

Protección de Datos

  • Los datos sensibles no se almacenan en dispositivos locales
  • Se utiliza el intercambio de archivos basado en la nube
  • Se aplican reglas de compartir pantalla y visualización

Seguridad de Terceros y Proveedores

Evaluación

  • Se realizan evaluaciones de seguridad de proveedores
  • Se requiere certificación ISO 27001 o equivalente
  • Se realizan auditorías de seguridad regulares

Requisitos Contractuales

  • Se firman acuerdos de confidencialidad (NDA)
  • Se celebran acuerdos de procesamiento de datos (DPA)
  • Se definen las obligaciones de notificación de brechas de seguridad

Respuesta a Incidentes y Gestión de Brechas

Plan de Respuesta a Incidentes

  • Procedimientos de detección, clasificación y escalamiento de incidentes
  • Monitoreo de seguridad 24/7
  • El Equipo de Respuesta a Incidentes (CSIRT) está definido

Notificación de Brechas de Datos

  • KVKK: Notificación a la Autoridad de Protección de Datos Personales 'lo antes posible'
  • RGPD: Notificación a la autoridad supervisora competente dentro de 72 horas
  • Se informa a las personas afectadas

Post-Incidente

  • Se realiza análisis de causa raíz
  • Se implementan acciones de mejora
  • Se documentan las lecciones aprendidas

Continuidad del Negocio y Recuperación ante Desastres

Plan de Continuidad del Negocio (BCP)

  • Se identifican los procesos de negocio críticos
  • Se definen los Objetivos de Tiempo de Recuperación (RTO) y los Objetivos de Punto de Recuperación (RPO)
  • Se planifican ubicaciones de trabajo alternativas

Recuperación ante Desastres (DR)

  • Procedimientos regulares de respaldo y pruebas
  • Respaldos distribuidos geográficamente
  • Ejercicios anuales de recuperación ante desastres

Activos Protegidos

Información de identidad y datos personales
Información de clientes y socios comerciales
Paquetes de software y códigos fuente
Infraestructura de servidores y redes
Recursos en la nube y bases de datos
Derechos de propiedad intelectual
Secretos comerciales e información comercial

Políticas de Apoyo

Política de escritorio limpio y pantalla clara
Política de uso de correo electrónico
Política de control de acceso
Política de controles criptográficos
Política de gestión de contraseñas
Política de uso de dispositivos móviles (BYOD)
Política de uso de redes sociales
Política de clasificación de datos
Política de respaldo y recuperación
Política de gestión de cambios

Objetivos

  1. 1Identificar el valor de los activos de información mediante una evaluación de riesgos adecuada
  2. 2Comprender las vulnerabilidades y amenazas potenciales
  3. 3Reducir los riesgos a niveles aceptables
  4. 4Cumplir con la legislación nacional (KVKK, 5651, TTK)
  5. 5Cumplir con las regulaciones internacionales (RGPD, ISO 27001:2022)
  6. 6Cumplir con los términos contractuales de los clientes
  7. 7Cumplir con los procedimientos e instrucciones de control
  8. 8Aumentar continuamente el nivel de madurez de ciberseguridad

Capacitación y Concientización

  • Capacitación anual de seguridad de la información para todos los empleados
  • La capacitación de inducción para nuevos empleados es obligatoria
  • Se realizan simulaciones de phishing y pruebas de concientización
  • Se organizan capacitaciones de seguridad especializadas basadas en roles
  • Se documentan los registros de capacitación

Responsabilidades

Alta Dirección

  • Aprueba y apoya esta política
  • Proporciona los recursos necesarios
  • Participa en las reuniones de revisión anuales

Director de Seguridad de la Información (CISO)

  • Coordina la implementación de la política
  • Gestiona los incidentes de seguridad
  • Realiza evaluaciones de riesgos
  • Informa a la dirección

Gerentes de Unidad

  • Asegura la implementación de la política en su unidad
  • Reporta vulnerabilidades de seguridad
  • Apoya la concientización de los empleados

Todo el Personal

  • Cumple con la política de seguridad de la información
  • Reporta incidentes de seguridad
  • Participa en las capacitaciones
  • Reporta situaciones sospechosas

Sanciones

Todo acto intencional o negligente que ponga en peligro la seguridad de la información de EGEROBOT, sus clientes o proveedores:

  • Procedimientos disciplinarios
  • Terminación del empleo
  • Acciones legales (Ley N° 5237 TCK - Delitos Cibernéticos)
  • Reclamaciones de compensación

está sujeto a.

Mejora Continua (Ciclo PDCA)

EGEROBOT aplica el ciclo Planificar-Hacer-Verificar-Actuar (PDCA) para mejorar continuamente el sistema de gestión de seguridad de la información:

Planificar (Plan)

  • Evaluación de riesgos y establecimiento de objetivos de seguridad
  • Preparación de políticas y procedimientos
  • Planificación de recursos

Hacer (Do)

  • Implementación de controles
  • Realización de capacitaciones
  • Documentación

Verificar (Check)

  • Auditorías internas
  • Medición de rendimiento
  • Análisis de incidentes y evaluación de tendencias

Actuar (Act)

  • Acciones correctivas
  • Acciones preventivas
  • Recomendaciones de mejora continua

Revisión

Esta política:

  • Se revisa al menos una vez al año
  • Se revisa cuando hay cambios importantes, incidentes de seguridad o actualizaciones regulatorias
  • Se evalúa en las reuniones de Revisión de la Dirección (MR)

Contacto

Contáctenos para consultas sobre seguridad de la información o para reportar incidentes.

Página de Contacto
Este documento es parte del Sistema de Gestión de Seguridad de la Información de EGEROBOT.