Objetivos de seguridad de la información
ISMS Copilot establece objetivos de seguridad de la información medibles y alineados con nuestra Política de Seguridad de la Información, fundamentados en los resultados de la evaluación de riesgos y seguidos frente a metas definidas. Cada objetivo sigue la estructura de la Cláusula 6.2 de la norma ISO 27001: qué se hará, qué recursos se requieren, quién es responsable, cuándo se completará y cómo se evaluarán los resultados.
El progreso de los objetivos es revisado trimestralmente por sus responsables e informado como parte de la revisión anual por la dirección.
OBJ-001: Lograr la certificación ISO 27001
Campo | Valor |
|---|---|
Categoría | Cumplimiento |
Propietario | CEO |
Objetivo | Lograr la certificación ISO 27001:2022 de un organismo acreditado |
Plazo | T4 2026 |
Medición | Certificación otorgada |
Estado | En curso |
Hitos clave:
Completar documentación del SGSI (cláusulas 4-10) — T1 2026 (en curso)
Completar Declaración de Aplicabilidad — T1 2026 (completado)
Completar registro y tratamiento de riesgos — T1 2026 (completado)
Realizar auditoría interna — T2 2026
Realizar revisión por la dirección — T2 2026
Auditoría Etapa 1 (revisión de documentación) — T3 2026
Auditoría Etapa 2 (revisión de implementación) — T4 2026
OBJ-002: Cero exposición de datos entre inquilinos
Campo | Valor |
|---|---|
Categoría | Confidencialidad |
Objetivo | Cero incidentes de acceso no autorizado a datos entre inquilinos (cross-tenant) |
Plazo | Continuo (medición anual) |
Medición | Número de incidentes confirmados de exposición de datos entre inquilinos por año = 0 |
Estado | Logrado (0 incidentes hasta la fecha) |
Controles que respaldan este objetivo:
Políticas de seguridad a nivel de fila (RLS) en todas las tablas de datos de usuario
Validación explícita de propiedad en el servicio de chat del backend
Suite de pruebas de seguridad automatizadas
Requisito de revisión de código para todos los cambios
OBJ-003: Resiliencia y disponibilidad de la plataforma
Campo | Valor |
|---|---|
Categoría | Disponibilidad / Continuidad del negocio |
Objetivo | La plataforma opera de manera confiable sin requerir intervención manual |
Plazo | T2 2026 |
Medición | Solicitudes de soporte que requieren intervención humana durante los periodos de prueba definidos |
Estado | En curso |
OBJ-004: Remediación de vulnerabilidades dentro del SLA
Campo | Valor |
|---|---|
Categoría | Seguridad |
Objetivo | Todas las vulnerabilidades remediadas dentro de los SLA definidos |
Plazo | Continuo (medición trimestral) |
Medición | Porcentaje remediado dentro del objetivo: Crítica 24h, Alta 7d, Media 30d, Baja 90d |
% Objetivo | 100% para Crítica/Alta; 90% para Media/Baja |
Estado | Activo |
Nuestros objetivos de SLA para vulnerabilidades se alinean con las mejores prácticas de la industria: las vulnerabilidades Críticas se abordan el mismo día, las Altas en una semana, las Medias en 30 días y las Bajas en 90 días.
OBJ-005: Mantener objetivo de disponibilidad del servicio
Campo | Valor |
|---|---|
Categoría | Disponibilidad |
Objetivo | 99,5% de tiempo de actividad para servicios básicos (chat, autenticación, base de datos) |
Plazo | Continuo (medición mensual) |
Medición | Porcentaje de tiempo de actividad mensual del monitoreo de BetterStack |
Estado | Activo |
OBJ-006: Completar revisiones de acceso trimestrales
Campo | Valor |
|---|---|
Categoría | Control de acceso |
Objetivo | 100% de cumplimiento de las revisiones de acceso trimestrales según lo programado |
Plazo | Continuo (medición trimestral) |
Medición | Listas de verificación de revisión fechadas y completadas |
Estado | Activo |
OBJ-007: Mantener capacidad de conmutación por error del proveedor de IA
Campo | Valor |
|---|---|
Categoría | Resiliencia |
Objetivo | La conmutación por error (failover) automática se activa en menos de 60 segundos tras el fallo del proveedor predeterminado |
Plazo | Continuo (prueba trimestral) |
Medición | Resultados de la prueba de failover (tiempo de activación, impacto al usuario durante el cambio) |
Estado | Activo — interruptor (circuit breaker) desplegado |
Los siete objetivos se supervisan activamente. Dos objetivos se han logrado por completo (cero exposición entre inquilinos, capacidad de failover de IA), tres están en curso con medición activa y dos avanzan hacia los hitos definidos.
Cadencia de revisión de objetivos
Actividad | Frecuencia |
|---|---|
Revisión del progreso de los objetivos | Trimestral |
Medición e informes de objetivos | Trimestral |
Establecimiento de objetivos para el próximo periodo | Anual |
Verificación de alineación con resultados de evaluación de riesgos | Después de cada revisión de riesgos |