Políticas Bursatron S.C.
Política de Seguridad de la Información
Bursatron S.C. reconoce que sus activos de información son recursos que tienen un alto valor, por lo que se compromete a:
“Garantizar la protección y continuidad de la operación de los servicios empresariales, asegurando el cumplimiento de la misión, visión, objetivos y estrategias de la empresa, mediante la definición, implementación, evaluación y mejora continua en conformidad de la norma ISO27001”
La presente política busca el logro de los siguientes objetivos con base en el SGSI y con el apoyo de la Alta Dirección, junto con en el cumplimiento de los objetivos organizacionales, regulatorios y operativos:
- Garantizar en la mayor medida posible la Seguridad de la Información, procurando los máximos niveles posibles de la confidencialidad, integridad y disponibilidad, como también la autenticidad, confiabilidad, trazabilidad y no repudio de la información generada, recibida, procesada, almacenada y compartida a través de sus sistemas, aplicaciones, infraestructura y personal.
- Minimizar los riesgos de seguridad de la información de los servicios, procesos, activos e infraestructuras esenciales/críticos de la empresa, con apego a la Gestión de Riesgos mediante la evaluación y tratamiento de riesgos.
- Mantener en la mayor medida posible, la disponibilidad de los procesos de negocio y la continuidad de su operación, basada en el impacto que pueden generar los eventos e incidentes de seguridad de la información.
- Fomentar y fortalecer la formación en Cultura de la Seguridad de la Información, promoviendo de manera efectiva la capacitación de los colaboradores.
- Mantener el compromiso y promoción de la mejora continua, a todas las personas definidas en el alcance del SGSI y a las distintas partes interesadas.
- Cumplir con las obligaciones legales, regulatorias y contractuales de Seguridad de la Información de nuestros clientes y partes interesadas
Compromiso de la Alta Dirección
La Alta Dirección de Bursatron S.C., reconoce la importancia de identificar y proteger los Activos de Información, que permita la mitigación de los riesgos a los que pueden estar expuestos, por lo que fortalece su compromiso evidenciándolo a través de las siguientes actividades:
- Proporcionar los recursos adecuados para el desarrollo, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información y de la Ciberseguridad.
- Promover la cultura de Seguridad de la Información y Ciberseguridad.
- Apoyar la divulgación de las políticas y demás lineamientos de Seguridad de la Información y Ciberseguridad.
- Revisar periódicamente el Sistema de Gestión de Seguridad de la Información.
Gestión de la Seguridad Física y del Entorno
La Gestión de la seguridad física y ambiental tiene como objetivo identificar y establecer medidas de control para proteger adecuadamente los activos de información y así evitar incidentes o interferencias no deseadas que afecten a la integridad física de la información.
Los rubros que la empresa contempla para protección física de los activos son:
- Perímetro de Seguridad Física de la organización.
- Protección contra amenazas externas y ambientales.
- Controles de acceso físico a la organización.
- Aseguramiento de las oficinas, centro de procesamiento de datos, etc.
- Trabajo en áreas seguras.
- Acceso solo a personal autorizado.
- Ubicación y protección de equipos y activos de información.
- Monitoreo, evaluación y redundancia en los servicios de apoyo. Como, por ejemplo: electricidad, telecomunicaciones, suministro de agua, gas, alcantarillado.
- Seguridad en cableado estructurado.
- Mantenimiento de equipo.
- Retiro de equipos y activos de información.
Gestión de Relaciones con Proveedores
Se establecen lineamientos para la administración de proveedores de servicio, de manera tal de reducir los riesgos inherentes a trabajar con terceros y así contribuir con la protección de la información confidencial de la organización y la de sus clientes. Para esto, es necesario:
- Mantener una lista de los proveedores de servicios, que incluya, entre otros, la descripción detallada del servicio prestado.
- Existir un procedimiento formal para seleccionar y contratar a proveedores de servicio que incluya la debida diligencia antes de la contratación.
- La contratación o finalización deberá ser autorizada por el director de operaciones.
- Contar con un contrato por escrito con cada proveedor relacionado con el alcance en materia de Protección de Datos. El mismo debe incluir la responsabilidad que el proveedor posee sobre la seguridad de los datos (almacena, procesa o transmite en representación de Bursatron S.C. o que podría afectar la seguridad de los datos de los clientes).
- Definir los requerimientos mínimos de seguridad para cada tipo de información y el tipo de acceso que servirá como base para los acuerdos individuales por proveedor con base en las necesidades de negocio, requerimientos y el perfil de riesgos de la organización.
- Definir los tipos de obligaciones aplicables a los proveedores para proteger la información de la organización.
- Contar con procedimientos para el manejo de incidentes y contingencias asociadas con acceso del proveedor incluyendo responsabilidades tanto de la organización como de los proveedores.
- Si el proveedor proporciona información confidencial a Bursatron S.C., se debe asegurar que se cumplan los acuerdos de confidencialidad.
- La contratación o finalización de proveedores de servicio, deberá ser autorizada por el director de operaciones.