Descargas
Descargas

Ciberseguridad

En Ciberseguridad no hay riesgo cero y nuestra primera línea de defensa son las personas. Es por ello por lo que nuestra estrategia de Ciberseguridad debe comenzar con las actividades de formación de las personas que laboran para Aleatica México.

Estrategia de ciberseguridad

Desde el Departamento de Tecnología de la Información y Sistemas, diseñamos y ejecutamos nuestra estrategia de Ciberseguridad a través de un Marco basado en el Cybersecurity Framework del NIST (National Institute of Standards and Technology). Este marco establece una metodología enfocada en reducir los riesgos asociados a las amenazas cibernéticas que podrían comprometer la seguridad de nuestros datos y la continuidad de nuestras operaciones.

Nuestro marco de Ciberseguridad se encuentra compuesto por un núcleo organizado jerárquicamente que se desarrolla en funciones. Estas tienen como objetivo organizar las actividades básicas en su nivel más alto para permitir reducir el riesgo de Ciberseguridad a niveles aceptables.

En 2024, revisamos y ajustamos esta estructura, y prevemos que, durante 2025, el Comité Ejecutivo apruebe su nueva versión y se inicie su despliegue a nivel de todas nuestras operaciones.

Gobernanza de la ciberseguridad

El liderazgo en estas materias estará a cargo del Director/Gerente de la respectiva Unidad de Negocio dentro de Aleatica, quien deberá observar y cumplir cabalmente el Marco de Ciberseguridad.

CEC
Comité estratégico de ciberseguridad

Oficial de ciberseguridad

ETIC
Equipo táctico de incidentes de ciberseguridad

GRIC
Grupo de respuesta a incidentes de ciberseguridad

En las Unidades de Negocio pertenecientes a Aleatica México, es requerido que el Director/Gerente de la respectiva Unidad de Negocio ejerza el debido liderazgo para observar y dar pleno cumplimiento al Marco de Ciberseguridad.

Formación en ciberseguridad

Por medio del sistema de videoconferencias institucional de Aleatica México, en 2024 realizamos tres webinars para todo el personal sobre las siguientes temáticas: 

En esta era de transformación digital, nuestra identidad digital se ha vuelto fundamental para interactuar, comprar y realizar trámites en línea, pero también nos expone a diversos riesgos.

En el webinar, exploramos la evolución de estas amenazas, la importancia de proteger nuestras credenciales para prevenir ciberataques y cómo el uso de redes sociales, si bien popular entre personas de todas las edades, puede facilitar la suplantación de identidad al compartir información sensible que los ciberdelincuentes pueden aprovechar. 

En el ciberespacio las amenazas evolucionan constantemente, y en este webinar analizamos cómo el phishing y otras técnicas de engaño se han vuelto más sofisticadas con el uso de inteligencia artificial generativa.

Aprendimos que los ciberdelincuentes emplean diversas estrategias para manipular y obtener acceso a datos o sistemas, y comprendimos la importancia de la prevención y el escepticismo ante cualquier solicitud sospechosa como nuestras mejores herramientas de defensa.

En un mundo cada vez más digitalizado, el manejo de la información sensible se convirtió en un pilar clave para proteger la privacidad y la integridad empresarial.

En este webinar profundizamos en su gestión, exploramos el impacto de las tecnologías emergentes y comprendimos la importancia de políticas sólidas y una cultura de seguridad consciente.

Proceso de escalamiento de la ciberseguridad

1. Reportar

Los colaboradores internos o externos que sospechen o sean objeto de alguna amenaza o evento de ciberseguridad deben reportar a la Mesa de Ayuda de Sistemas (MAS) vía correo electrónico o llamada telefónica.

2. Investigar

A cada evento o incidentes de ciberseguridad se le asigna un número de ticket con el que el área investiga y da solución.

3. Tomar acciones

En caso de ser identificada o se sospeche de una posible violación a los lineamientos de protección de datos, se da aviso al área de Protección de Datos para que tomen acciones dentro de su gestión y responsabilidad.

Planes de contingencia/continuidad comercial en Ciberseguridad

Nuestros planes de continuidad identifican los procesos críticos que, en caso de un evento inesperado —incluidos incidentes cibernéticos— que impida su operación normal, pueden ser reactivados de forma parcial mediante mecanismos de contingencia, ya sean manuales o tecnológicos. Estos mecanismos están definidos en los Planes de Recuperación ante Desastres (Disaster Recovery Plan, DRP) de cada Unidad de Negocio y del corporativo.

En 2024 validamos que todas las Unidades de Negocio y el corporativo gestionan adecuadamente sus DRP.

Frente a cualquier incidente de Ciberseguridad contamos con procedimientos estandarizados,

 una matriz de comunicación por niveles, guías operativas y herramientas que nos permiten clasificar la gravedad e impacto del incidente, definir el tratamiento adecuado, determinar el tipo de informe requerido y la audiencia a la que se debe escalar y notificar, así como registrar la información en nuestra Mesa de Ayuda de Sistemas (MAS). Probamos y validamos estos procedimientos y herramientas cada vez que se materializa una amenaza o incidente para garantizar su efectividad y mejora continua.

Análisis de vulnerabilidades en Ciberseguridad

Hemos establecido, en colaboración con CYE —empresa especializada en Ciberseguridad y aliada de nuestro accionista de control—, cuatro servicios clave: resiliencia en Ciberseguridad, respuesta a incidentes, simulación de ataques y defensa de nuestra infraestructura tecnológica, e identificación de amenazas. Estos servicios consisten en realizar una serie de análisis de hackeo ético a recursos internos (penetration tests) con los propósitos de:

Detectar vulnerabilidades y trabajar en su remediación.
Fortalecer el conocimiento y las competencias técnicas de nuestros equipos de TI que gestionan temas relacionados con la Ciberseguridad.

Contamos, además, con el respaldo del equipo especializado de CYE, disponible 24/7, para responder de manera inmediata a cualquier ataque o incidente, basados en las mejores prácticas internacionales.

Adicionalmente realizamos de forma trimestral un análisis proactivo de identificación y remediación de vulnerabilidades sobre los recursos tecnológicos que gestionan nuestras áreas de TI y Sistemas. Estos recursos sostienen la mayoría de los servicios informáticos esenciales para las tareas administrativas de nuestro personal, tales como correo electrónico, sitios web corporativos y de nuestras Unidades de Negocio, servidores de bases de datos y sistemas corporativos, antivirus, y la gestión y autenticación de credenciales digitales.

Desempeño en Ciberseguridad

Hemos realizado cinco webinars sobre Ciberseguridad

donde participaron un total de 590 miembros del equipo, con un total de 1,627 horas de formación

Ejecutamos un curso de certificación en Ciberseguridad

cubierto satisfactoriamente por el 100 % de las personas con cargos administrativos no operativos en las Unidades de Negocio y del corporativo. Se certificaron en total 407 miembros del equipo.

El 87 % de las Unidades de Negocio incrementaron su nivel de madurez

en Ciberseguridad o por lo menos lo mantuvieron.

En Aleatica no se han producido filtraciones de datos.

Cambiar a Global