Última actualización: 10 de julio de 2026
Protegemos la información, garantizamos la continuidad operativa y fortalecemos la seguridad de nuestra cadena logística.
Objetivo
Definir los lineamientos obligatorios para la clasificación, acceso, control y revisión de los activos de información, plataformas digitales e infraestructura tecnológica de Transagronets S.A., garantizando la continuidad operativa del transporte de carga pesada y mitigando los riesgos de fuga de datos o accesos no autorizados.
Riesgos que se buscan mitigar: fuga de información, accesos no autorizados, malware y ciberataques, interrupciones operativas y afectaciones al transporte.
1. Clasificación de la información y políticas de acceso
Toda la información propiedad de Transagronets S.A., así como los sistemas y accesos, se clasificarán de acuerdo con su nivel de criticidad y en estricto cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador y las normas de la cadena de suministro.
Confidencial (Criticidad Alta)
Información que, al filtrarse, paraliza la operación o genera multas legales. Incluye: manifiestos de carga, rutas y horarios de clientes, datos financieros, hojas de vida de conductores, datos personales sensibles, coordenadas GPS en tiempo real.
Acceso restringido y requiere doble factor de autenticación (2FA).
Interna (Criticidad Media)
Información de uso exclusivo para el personal, cuyo daño es moderado. Incluye: manuales de procedimientos, minutas de reuniones de vinculación, políticas de la empresa, comunicaciones internas.
Pública (Criticidad Baja)
Información autorizada para difusión externa. Incluye: catálogo de servicios de transporte, dirección de oficinas en Tulcán o Quito, información de contacto comercial.
2. Principio de privilegio mínimo y revisión periódica
Los accesos y permisos se otorgarán única y estrictamente de acuerdo con las funciones y tareas asignadas al cargo:
- Facturación: solo módulos financieros.
- Operaciones: gestión de rutas y monitoreo.
- RRHH: gestión de personal.
- TI: administración tecnológica.
El área de TI, en conjunto con la Jefatura de Operaciones y Recursos Humanos, realizará una auditoría de permisos cada seis (6) meses:
- Identificar y revocar accesos heredados.
- Eliminar usuarios inactivos.
- Revocar privilegios que ya no correspondan.
- Validar accesos vigentes con las funciones actuales.
3. Revocación inmediata de accesos por desvinculación
Al terminar un contrato laboral, acuerdo comercial con un tercero o usuario externo, el área de Talento Humano notificará de forma inmediata al administrador de TI (máximo 2 horas posteriores a la desvinculación).
Se eliminan por completo:
- Correo corporativo.
- Accesos a servidores y sistemas.
- Plataformas de rastreo GPS.
- Códigos de alarmas.
- Plataformas digitales.
- Recursos tecnológicos asignados.
Se dejará constancia en el acta de finiquito informático.
4. Vigilancia en el uso de plataformas y contenido digital
Herramientas autorizadas
- Herramientas de videoconferencia.
- Comunicación oficial (correos corporativos).
- Canales bancarios seguros validados.
- Sistemas y plataformas aprobadas por TI.
Prohibido
- Grabar sesiones donde se traten rutas críticas o datos de clientes sin autorización explícita.
- Utilizar plataformas o aplicaciones no autorizadas.
- Compartir información de clientes o de la empresa.
- Descargar o instalar software no autorizado.
Monitoreo
La empresa se reserva el derecho a auditar y bloquear el uso de contenido digital, páginas web o plataformas no laborales que saturen el ancho de banda, expongan la red a software malicioso o afecten la productividad operativa.
5. Controles para súper usuarios
- Bitácora de accesos de súper usuarios.
- Credenciales almacenadas en gestor corporativo de contraseñas.
- Credenciales bajo estrictas medidas de cifrado (físicas y digitales).
- Acceso limitado solo a personal autorizado.
- Registro de cambios y actividades privilegiadas.
6. Continuidad del negocio y custodia de credenciales
Para garantizar la continuidad del negocio en caso de ausencia imprevista, renuncia o incapacidad del Administrador de TI principal, existirá un protocolo de custodia de credenciales maestras. Estas copias estarán en un contenedor seguro (físico o digital) bajo custodia compartida entre el Gerente General y el Oficial de Seguridad.
7. Revisión y actualización de la política
- Periodicidad: al menos una (1) vez al año.
- Por cambios en el entorno: de manera inmediata si existen cambios significativos en el contexto interno o externo.
- Por materialización de riesgos: si la empresa experimenta un incidente de ciberseguridad, la política deberá ser revisada y ajustada de inmediato.
Compromiso de cumplimiento
La observación de esta política es obligatoria. Su vulneración intencional o por negligencia será considerada una falta grave al Reglamento Interno, dando lugar a los procesos disciplinarios y legales correspondientes.
Protegemos la información para mover el futuro con seguridad.
