Política de sincronización horaria - PYME

Esta Política de sincronización horaria (P23S) establece requisitos claros y obligatorios para configurar y mantener una sincronización horaria precisa en todos los sistemas de la organización implicados en el almacenamiento, la transmisión o el tratamiento de datos relevantes para el negocio. Como política para PYMES, P23S está diseñada específicamente para organizaciones con funciones de TI simplificadas, como Director General y Proveedor de Soporte de TI, y aun así logra el cumplimiento de ISO/IEC 27001:2022, GDPR, NIS2, DORA y otros marcos. El propósito de esta política es mantener la integridad de los archivos de registro del sistema, facilitar una investigación de incidentes precisa y garantizar la defendibilidad en auditorías mediante la aplicación estricta de controles de sincronización horaria automatizada. Exige que todos los sistemas propiedad de la empresa, remotos y sistemas alojados en la nube, incluidos endpoints de usuario, servidores, cortafuegos y plataformas SaaS, dependan de fuentes horarias de confianza protegidas criptográficamente (p. ej., servidores NTP autenticados o herramientas del proveedor de nube). Los dispositivos deben sincronizarse al menos dos veces al día y mantenerse dentro de umbrales definidos (±5 segundos para estaciones de trabajo; ±1 segundo para servidores y dispositivos de seguridad). Las discrepancias horarias fuera de los umbrales activan alertas automatizadas y deben corregirse con prontitud para evitar amenazas a la trazabilidad de los datos o a la situación regulatoria. La política asigna responsabilidades al Director General, al Proveedor de Soporte de TI y a un Coordinador de Privacidad o Responsable de Cumplimiento. El Director General supervisa y aprueba la política o cualquier excepción, mientras que el Proveedor de Soporte de TI configura, realiza el seguimiento y documenta el estado de sincronización horaria. Se prohíbe estrictamente a empleados y contratistas alterar los ajustes de hora del dispositivo; cualquier problema de sincronización debe escalarse de inmediato. Las comprobaciones periódicas de salud del sistema y las revisiones periódicas ayudan a garantizar el cumplimiento continuo, mientras que la gestión de excepciones y los controles compensatorios se gobiernan y documentan cuidadosamente. La sincronización horaria se vincula explícitamente con otras políticas esenciales para PYMES, incluidas la Política de registro y monitorización, la Política de respuesta a incidentes (P30), las políticas de Protección de datos y Privacidad de los datos, la Gestión de instalaciones y activos y la Política de seguridad de proveedores. En conjunto, estas políticas proporcionan una cobertura cohesionada, garantizando que los archivos de registro utilizados para el cumplimiento, la monitorización de la seguridad o la respuesta ante violaciones de seguridad sean precisos tanto en el contenido como en la marca de tiempo. El documento destaca un proceso riguroso de revisión y actualización, que exige una revalidación anual por parte del Director General, TI y funciones de Privacidad, con actualizaciones desencadenadas por cambios tecnológicos u obligaciones reglamentarias nuevas. Este enfoque integral ofrece a las PYMES la capacidad de adherirse a estándares de seguridad de nivel empresarial sin necesidad de estructuras de supervisión complejas e intensivas en recursos.