POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

INTRODUCCIÓN

La seguridad de la información es un pilar fundamental que determina en buena parte la robustez de la organización, basada en su capacidad para prevenir, detectar, responder y recuperarse ante distintos eventos o incidentes que pudieran potencialmente interrumpir o alterar la actividad de negocio. Como sucede en la mayoría de las organizaciones en la actualidad, BERNARDO ECENARRO S.A depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Es por ello que estos sistemas deben ser administrados con diligencia, tomando medidas adecuadas para protegerlos frente a daños accidentales o deliberados.

FUNDAMENTOS Y PRINCIPIOS

  • Seguridad integral: Se considera la seguridad como un proceso global que abarca aspectos físicos, lógicos, organizativos y humanos.
  • Mínimo privilegio: Se otorgan permisos mínimos necesarios para evitar riesgos innecesarios.
  • Segregación de funciones: Separación de responsabilidades para evitar conflictos de interés.
  • Seguridad en profundidad: Implementación de capas de protección para minimizar daños.
  • Gestión de riesgos: Identificación, protección, detección, respuesta y recuperación de incidentes.
  • Mejora continua: Revisión periódica de las medidas de seguridad.

COMPROMISO DE BERNARDO ECENARRO S.A

BERNARDO ECENARRO S.A reconoce la importancia crítica de la seguridad de la información para el éxito y sostenibilidad de la organización. Nos comprometemos a garantizar la calidad de la información y la prestación continuada de los servicios.

  • Establecer y comunicar el marco normativo de seguridad.
  • Asignar recursos adecuados para implementar el SGSI.
  • Gestionar riesgos de manera planificada.
  • Implementar controles técnicos y organizativos para responder a incidentes.
  • Promover una cultura de seguridad de la información.
  • Establecer objetivos y metas medibles.

ALCANCE

Ámbito subjetivo

Aplica a todos los empleados, contratistas, consultores y terceros que manejen información de la organización.

Ámbito objetivo

Aplica a toda la información de la organización, incluyendo:

  • Información confidencial (datos financieros, clientes, empleados, etc.).
  • Información de propiedad intelectual.
  • Información de los sistemas de información.

ESTRUCTURA SGSI

Normas de Seguridad

Documentos que establecen cómo afrontar temas de seguridad, definiendo la posición de la organización.

Procedimientos de Seguridad

Documentos que describen detalladamente cómo realizar actividades específicas para evitar errores y mejorar la eficiencia.

CICLO DE VIDA SGSI

  • Planificar: Definir objetivos y políticas.
  • Hacer: Implementar controles de seguridad.
  • Verificar: Evaluar la efectividad de las medidas.
  • Actuar: Tomar medidas correctivas y mejorar continuamente.

ROLES Y RESPONSABILIDADES

Alta Dirección

Proporciona liderazgo y recursos para el SGSI.

Responsable de Seguridad de la Información

Coordina actividades de seguridad y monitorea su cumplimiento.

Empleados y Usuarios

  • Cumplir con políticas de seguridad.
  • Reportar incidentes de seguridad.
  • Participar en formación y concienciación.

TERCERAS PARTES Y PROVEEDORES

Terceras Partes

Deben cumplir con las políticas de seguridad establecidas y reportar incidentes.

Proveedores

Deben garantizar la seguridad de los servicios y cumplir con los acuerdos establecidos.

REVISIÓN Y MEJORA

Revisión periódica

Se realizarán revisiones anuales para evaluar la eficacia de la política de seguridad.

Cambios significativos

En caso de cambios en la infraestructura o regulaciones, la política se actualizará para reflejar las nuevas circunstancias.