Política de seguridad de la información

  1. PROPÓSITO y OBJETIVOS

    La Política de Seguridad de la Información de BAUFEST establece un conjunto de medidas destinadas a preservar la confidencialidad, integridad y disponibilidad de la información, los tres pilares fundamentales de la seguridad de la información. Tiene como propósito definir los requisitos necesarios para proteger la información, los equipos y los servicios tecnológicos que dan soporte a los procesos de negocio de la organización, en cumplimiento con las mejores prácticas del sector y las normativas aplicables, incluida la Norma ISO 27001:2022.

    Los objetivos de Seguridad de la Información de BAUFEST son definidos para:

    • Proteger la confidencialidad de la información del cliente y la propiedad intelectual, asegurando que la información solo sea accesible a personas autorizadas.
    • Garantizar la integridad de los datos, preservando la exactitud y completitud de la información contra modificaciones no autorizadas.
    • Asegurar la disponibilidad continua de los servicios y aplicaciones críticos para el negocio, garantizando que la información y los sistemas estén disponibles cuando sea necesario.
    • Cumplir con las leyes, regulaciones y normativas aplicables en materia de seguridad de la información.

    Estos objetivos contribuyen a fortalecer la postura de seguridad de Baufest y a garantizar el cumplimiento del marco normativo adoptado por la organización.

  2. ROLES y RESPONSABILIDADES
    • Alta Dirección:
      • Proveer liderazgo y recursos para implementar y mantener el Sistema de Gestión de seguridad de la Información (SGSI).
      • Impulsar la divulgación y concienciación sobre la Política de Seguridad de la Información entre los baufesianos.
      • Exigir el cumplimiento de la Política, de la legislación vigente y de los requisitos aplicables en materia de seguridad de la información.
      • Considerar los riesgos asociados a la seguridad de la información en los procesos de toma de decisiones.
    • Responsable de Seguridad de la Información:
      • Supervisar la implementación y el cumplimiento de la presente política.
      • Liderar la coordinación de las actividades del SGSI.
      • Identificar, evaluar y mitigar los riesgos de seguridad de la información dentro de la organización.
    • Propietarios de Activos de Información:
      • Identificar y proteger los activos de información bajo su custodia.
      • Asegurar que dichos activos cuenten con controles adecuados según su clasificación y criticidad.
    • Usuarios Finales:
      • Cumplir con las políticas y procedimientos de seguridad de la información establecidos por BAUFEST.
      • Participar en actividades de formación y concienciación en materia de seguridad de la información.
  3. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE BAUFEST

    La Dirección de BAUFEST entiende que la información posee un valor fundamental para la organización y, por consiguiente, debe ser debidamente protegida. Por ello, promueve y se compromete a fomentar la mejora continua del Sistema de Gestión de Seguridad de la Información, así como a satisfacer sus requisitos mediante la formulación y mantenimiento de una política adecuada que proporcione un marco de referencia para establecer los objetivos y controles de seguridad de la información, alineados con los objetivos de negocio de la organización.

    El presente documento es aprobado por la Dirección de BAUFEST, quien se compromete a publicarlo, comunicarlo y a exigir su cumplimiento a todo el personal de la compañía, y a los terceros que interactúan de manera habitual u ocasional y que puedan acceder a información sensible.

    La Política de Seguridad de la Información de Baufest se basa en los siguientes ejes estratégicos:

    • Control de acceso: orientado a controlar el acceso a la información y a los sistemas que la procesan en base a los requisitos del negocio y de seguridad; concediendo el acceso de acuerdo con la necesidad de conocimiento, previniendo accesos no autorizados mediante controles técnicos apropiados.
    • Gestión de riesgos: con foco en mantener un entorno controlado, minimizando los riesgos hasta niveles aceptables, implementando controles de seguridad adecuados para mitigarlos, priorizando aquellos con el mayor impacto y probabilidad.
    • Gestión de incidentes: para reducir al mínimo el impacto de los mismos, facilitando el monitoreo, la respuesta oportuna y el desarrollo de una base de conocimiento para su detección, contención y mitigación.
    • Estructura jerárquica y roles: definir y mantener una estructura de roles a través de Grupos de Seguridad que permita establecer quiénes pueden acceder, compartir y gestionar distintos tipos de información.
    • Clasificación de información: orientado a la definición de pautas generales para asegurar una adecuada clasificación, tratamiento y control de la información, en función de los criterios de confidencialidad, integridad y disponibilidad.
    • Gestión de comunicaciones y operaciones: para asegurar la correcta operación de las instalaciones de procesamiento de información, la integridad de las aplicaciones y la confidencialidad de las comunicaciones, mediante controles técnicos y procedimientos establecidos.
    • Seguridad física y ambiental: con foco en garantizar la efectividad de las medidas de protección física para instalaciones y equipos, mitigando amenazas físicas, lógicas y/o ambientales que puedan comprometer la seguridad de la información.
    • Concientización y compromiso de seguridad: informar a empleados y terceros sobre el contenido de esta política, así como sobre los procesos disciplinarios derivados de su incumplimiento, promoviendo el uso responsable de los recursos informáticos de la organización.
    • Gestión de la continuidad del negocio: desarrollar controles sobre los planes de recuperación ante desastres y continuidad operativa para garantizar el funcionamiento normal de la organización ante una contingencia.