Política de Calidad y Seguridad
Objetivo, Alcance y Usuarios
En BQN estamos comprometidos con la mejora continua de nuestro Sistema Integrado de Gestión de Calidad y Seguridad de la Información, generando un crecimiento sostenido de la organización, basándonos en nuestro pilar fundamental que es el trabajo en equipo.
El objetivo de esta política de alto nivel es definir el propósito, la dirección, los principios y las reglas básicas para la gestión de Calidad y de Seguridad de la Información.
Respecto a Seguridad de la Información, esta Política se aplica a todo el Sistema de Gestión de Seguridad de la Información (SGSI), tal como se define en el Documento de Alcance del SGSI.
Los usuarios de este documento son todos los colaboradores de BQN, así como las partes externas pertinentes.
Para ello, estamos comprometidos con:
- Asegurar la satisfacción de nuestros clientes, y demás partes interesadas.
- Asegurar la calidad en el desarrollo, la fabricación, la venta, el onboarding de usuarios, la operación y el soporte a usuarios de productos y servicios, para que nuestros clientes obtengan el máximo beneficio.
- Mantener la confianza de nuestras partes interesadas, velando por el cumplimiento de los requisitos legales y regulatorios y las obligaciones contractuales aplicables, tanto al negocio como en materia de seguridad de la información.
- Proteger los activos de información, ya sean propios o de terceros, garantizando su confidencialidad, integridad y disponibilidad, para reducir riesgos e incidentes de seguridad de la información.
- Establecer los medios necesarios para asegurar la continuidad de las operaciones.
- Asegurar el desarrollo de las competencias y el compromiso de todos los integrantes de la organización, con el propósito de cumplir con la presente Política y los objetivos de calidad y seguridad de la información.
Responsabilidades SGSI
Las responsabilidades con relación al SGSI son las siguientes:
- La Dirección es responsable de asegurar que el SGSI sea implementado y mantenido de acuerdo con esta Política, y de asegurar que todos los recursos necesarios estén disponibles.
- El Comité de Seguridad de la Información es responsable de la coordinación operativa del SGSI, así como de la presentación de informes sobre el desempeño del SGSI.
- La Dirección debe revisar el SGSI al menos una vez al año, o cada vez que ocurra un cambio significativo. El propósito de la revisión por la Dirección es establecer la idoneidad, adecuación y eficacia del SGSI.
- El Comité de Seguridad de la Información implementará programas de capacitación y concientización sobre la seguridad de la información para los empleados.
- La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del propietario de cada activo.
- Todos los incidentes o debilidades de seguridad deben ser reportados al Comité de Seguridad.
Política de Seguridad de la Información
La Dirección de BQN reconoce la importancia de identificar y proteger los activos de información de la organización. Para ello, evitará la destrucción, divulgación, modificación y utilización no autorizada de toda información, comprometiéndose a desarrollar, implantar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información.
La Dirección, además, declara el cumplimiento de la normativa y legislación vigente en relación con aspectos de seguridad de la información.
La Seguridad de la Información se caracteriza como la preservación de:
- Su confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información.
- Su integridad, asegurando que la información y sus métodos de proceso sean exactos y completos.
- Su disponibilidad, asegurando que los usuarios autorizados tengan acceso a la información cuando lo requieran.
La seguridad de la información se consigue implantando un conjunto adecuado de controles, tales como políticas, procedimientos, estructuras organizativas, software e infraestructura. Estos controles deberán ser establecidos para asegurar los objetivos de seguridad de la organización.
BQN designará un Comité de Seguridad de la Información, quien se encargará de la guía, implementación y el mantenimiento del Sistema de Gestión de Seguridad de la Información.
La presente Política de Seguridad de la Información debe ser conocida y cumplida por todo el personal de la organización, independiente del cargo que desempeñe y de su situación contractual.
Es política de BQN:
- Establecer objetivos anuales con relación a la Seguridad de la Información.
- Desarrollar un proceso de evaluación y tratamiento de riesgos de seguridad, y de acuerdo a su resultado implementar las acciones correctivas y preventivas correspondientes, así como elaborar y actualizar el plan de acción.
- Clasificar y proteger la información de acuerdo a la normativa vigente y a los criterios de valoración en relación a la importancia que posee para la organización.
- Cumplir con los requisitos del servicio, legales o reglamentarios y las obligaciones contractuales de seguridad.
- Brindar concientización y formación en materia de seguridad de la información a todo el personal.
- Establecer que todo el personal es responsable de registrar y reportar las violaciones a la seguridad, confirmadas o sospechadas de acuerdo a los procedimientos correspondientes.
- Establecer los medios necesarios para garantizar la continuidad de las operaciones de la organización.
Objetivos y medición
Los objetivos generales del SGSI son asegurar que la organización cumpla con las leyes, normativas, controles y regulaciones pertinentes relacionadas con la seguridad de la información, y de esa forma crear una mejor imagen de mercado y reducir el daño ocasionado por potenciales incidentes. Las metas están en línea con los objetivos comerciales, con la estrategia y los planes de negocio de la organización.
Todos los objetivos deben ser revisados al menos una vez al año.
BQN medirá el cumplimiento de todos los objetivos.
El Oficial de Seguridad de la Información (OSI) es el responsable de revisar estos objetivos generales del SGSI y de establecer nuevos.
Será el responsable de definir el método para medir el cumplimiento de los objetivos y la medición se realizará al menos al menos una vez al año. El OSI analizará y evaluará los resultados y los reportará al Comité de Seguridad de la Información (CSI) como material para la revisión por la Dirección. Es responsable además de registrar los detalles sobre los métodos de medición, periodicidades y resultados en el Informe de Medición.