1. Introducción

The LeBems Process es una marca colombiana con 10 años de experiencia en la industria del marketing digital, el diseño web y el desarrollo de soluciones a la medida con inteligencia artificial y experiencias de realidad aumentada.

En el marco de nuestro compromiso con la seguridad de la información, hemos desarrollado estas políticas para garantizar la protección de nuestros sistemas, datos y clientes. Estas políticas están alineadas con normativas internacionales como ISO 27001 y el marco de ciberseguridad del NIST.

2. Alcance

Estas políticas aplican a todos los empleados, contratistas, proveedores y socios comerciales que interactúan con la infraestructura tecnológica de The LeBems Process, incluyendo:

• Uso de nuestras herramientas de desarrollo (Unity).
• Acceso y gestión del código fuente en GitLab.
• Uso de herramientas colaborativas y de gestión en Microsoft 365.
• Acceso a la red corporativa y sistemas de información.
• Manipulación de información confidencial, personal y corporativa.

3. Principios de Seguridad de la Información

• Confidencialidad: Protegemos la información contra accesos no autorizados mediante autenticación robusta, cifrado de datos y un control estricto de accesos.
• Integridad: Garantizamos la exactitud y confiabilidad de los datos, asegurando que no sean modificados sin autorización, a través de registros de auditoría y controles de versiones.
• Disponibilidad: Implementamos medidas para garantizar que la información crítica esté accesible cuando sea requerida, como redundancia de sistemas y planes de recuperación ante desastres.

4. Control de Acceso

• La asignación de permisos se basa en el principio de menor privilegio y la necesidad de conocer.
• Se requiere autenticación multifactor (MFA) para los accesos a GitLab, Microsoft 365, servidores y sistemas críticos.
• Se realizarán auditorías trimestrales para revisar accesos y eliminar cuentas inactivas o permisos innecesarios.
• Se implementarán políticas de contraseñas robustas con un mínimo de 12 caracteres y cambio obligatorio cada 90 días.
• Microsoft Authenticator será la herramienta oficial de doble verificación para reforzar la seguridad en el acceso a las cuentas corporativas.

5. Seguridad en el Desarrollo de Software

• Se deben seguir estándares de codificación segura, evitando vulnerabilidades según OWASP Top 10 y SANS CWE.
• Todo código debe ser revisado en un proceso de code review antes de ser integrado en el repositorio principal.
• Se utilizarán herramientas de escaneo de seguridad como SonarQube para detectar vulnerabilidades en el código.
• Se aplicarán metodologías de desarrollo seguro como DevSecOps, integrando pruebas de seguridad en el ciclo de vida del software (SDLC).

6. Protección de Datos y Backup

• Se realizarán copias de seguridad automáticas diarias y se almacenarán en ubicaciones seguras con redundancia geográfica.
• Toda información crítica se cifrará con AES-256 en reposo y TLS 1.2 en tránsito.
• Se definirán políticas de retención de datos, eliminando información obsoleta según regulaciones y necesidades de la empresa.

7. Gestión de Incidentes de Seguridad

• Todo incidente de seguridad debe ser reportado de inmediato al equipo de seguridad de la información a través del correo ti@newrona.net.
• Se establecerán niveles de criticidad para priorizar la respuesta a incidentes.
• Se mantendrá un registro detallado de todos los incidentes y las acciones tomadas para su resolución.
• Se realizarán simulacros de respuesta a incidentes al menos una vez al año.

8. Cumplimiento y Auditoría

• Se llevarán a cabo auditorías internas semestrales para evaluar el cumplimiento de estas políticas.
• El incumplimiento podrá derivar en sanciones disciplinarias, incluyendo suspensiones o terminación de contrato.
• Se garantizará la formación continua en ciberseguridad para todos los empleados, incluyendo entrenamientos específicos según rol y responsabilidades.

9. Uso de Herramientas de Microsoft 365

Microsoft 365 es la plataforma principal utilizada para la gestión de información en The LeBems Process AR. Para maximizar su seguridad, se establecerán las siguientes medidas:

• Se deben seguir las políticas de seguridad establecidas por Microsoft 365, incluyendo configuraciones de acceso condicional.
• Se habilitarán alertas de actividad sospechosa para prevenir accesos no autorizados.
• Se restringirá el uso de dispositivos personales para acceder a información sensible de la empresa.
• Se aplicarán controles de Data Loss Prevention (DLP) para evitar fugas de información crítica.
• Se aprovecharán las ventajas de Microsoft Defender para la detección de amenazas y protección en tiempo real.
• Se reforzará la seguridad con autenticación multifactor obligatoria a través de Microsoft Authenticator.

Ventajas de Seguridad al Usar Microsoft 365

El uso de Microsoft 365 ofrece múltiples ventajas de seguridad, entre ellas:

• Protección avanzada contra amenazas: Uso de inteligencia artificial para detectar y mitigar ataques de phishing, malware y ransomware.
• Cifrado de extremo a extremo: Protección de datos en tránsito y en reposo mediante cifrado avanzado.
• Control de acceso avanzado: Implementación de políticas de acceso condicional según ubicación, dispositivo y comportamiento del usuario.
• Monitoreo y respuesta en tiempo real: Análisis constante de actividad sospechosa con Microsoft Defender y alertas automatizadas.
• Prevención de pérdida de datos (DLP): Control sobre la información confidencial para evitar fugas o accesos no autorizados.
• Respaldo y recuperación de datos: Copias de seguridad automatizadas y herramientas de recuperación ante incidentes.

10. Concientización y Capacitación

• Se impartirán cursos de concientización en ciberseguridad a todos los empleados.
• Se realizarán pruebas de phishing periódicas para evaluar la respuesta de los empleados ante ataques de ingeniería social.
• Se implementarán simulaciones de ataques cibernéticos para mejorar la preparación ante incidentes.

11. Revisión y Actualización

Estas políticas serán revisadas anualmente o cuando sea necesario, según cambios en regulaciones o amenazas emergentes.

Las estrategias de seguridad se actualizarán con base en evaluaciones de riesgo y lecciones aprendidas de incidentes pasados.