Política de Seguridad de los Sistemas de Información

La información es para Bilbomática y para las personas y sociedades que dependen de sus servicios, uno de sus activos más valiosos y un bien crítico sin el cual no podría desarrollar su actividad. Bilbomática basa en gran medida la calidad de su gestión en la utilización de esta información de forma exacta, completa y obtenida a tiempo.

Por lo tanto, se reconoce la gran importancia de las medidas de Seguridad para lograr que la información no esté afectada por amenazas tales como errores, fraudes, malversaciones, sabotajes, extorsiones, espionaje industrial, violaciones de intimidad, interrupciones de servicio y desastres naturales. La Dirección de Bilbomática reconoce su responsabilidad en desarrollar las directrices de seguridad que permitan minimizar los riesgos potenciales a los que se encuentra expuesta para la consecución de los objetivos estratégicos del negocio.

El objetivo de esta Política de Seguridad de los Sistemas de Información es definir las principales pautas que conduzcan a la formulación de procedimientos de Seguridad de los Sistemas de Información, para salvaguardar la información de acuerdo a lo comentado en el párrafo anterior.

La formulación de la Política Corporativa de Seguridad de los Sistemas de Información se sustenta en los siguientes pilares claves para lograr la protección de la información de Bilbomática:

  • La información de Bilbomática y sus Sistemas de Información son activos críticos que deben ser protegidos para asegurar su funcionamiento.
  • La información de Bilbomática debe ser protegida conforme a su susceptibilidad, valor y criticidad.
  • Todos los empleados y terceros colaboradores de Bilbomática tienen la responsabilidad de proteger la información que se les ha confiado.
  • La protección de la información permite el desarrollo del negocio de Bilbomática; las medidas de protección deben desarrollarse conforme a una evaluación del riesgo.
  • Para determinar qué medidas de protección son necesarias, debe asegurarse la confidencialidad, integridad y disponibilidad de la información y clasificar la misma como Confidencial, Uso Interno o Pública.

Los principios sobre seguridad de la información en torno a los cuales se construyen las medidas de Seguridad de los Sistemas de Información son los siguientes:

  • La información debe ser protegida durante todo su ciclo de vida, desde su creación o recepción hasta su procesamiento, comunicación, transporte, almacenamiento, difusión a terceros y su eventual destrucción.
  • Bilbomática protegerá la información de la difusión o manipulación no autorizada o pérdida de la misma.
  • Los terceros que puedan acceder a la información propiedad de Bilbomática han de estar sometidos al control de los estándares definidos en cuanto a la seguridad de la información.
  • Cada empleado tiene la obligación y el deber de proteger adecuadamente la información, conforme a las clasificaciones y estándares de Bilbomática

La Política Corporativa de Seguridad de los Sistemas de Información será aplicable a todos los trabajadores de Bilbomática, sean o no empleados, incluyendo cualquier persona ajena a Bilbomática que tenga acceso a la información gestionada o propiedad de la misma. La Política también será aplicable a toda la información en soporte digital y a los Sistemas de Información propiedad de Bilbomática o gestionados para Bilbomática.

La Política Corporativa de Seguridad de los Sistemas de Información contempla la clasificación de los niveles de sensibilidad de la Información para garantizar los compromisos de control de confidencialidad, integridad y disponibilidad de la Información de una forma óptima. Esta política aboga por la clasificación de la información en función de los niveles de seguridad de la siguiente forma:
 
  • Confidencial: Que engloba la información de mayor sensibilidad para Bilbomática, y que requiere de fuertes medidas para protegerla frente a difusiones (confidencialidad) y/o modificaciones no autorizadas (integridad).
  • De Uso Interno: Que aplica a información menos sensible, que se pretende sea de uso interno de Bilbomática, y que aunque su difusión no autorizada está en contra de esta política, no se espera de la misma un impacto negativo serio.
  • Pública: Que aplica a la información que ha sido explícitamente aprobada por la Dirección de Bilbomática, para mostrarse al público.
Los requisitos de esta Política Corporativa de Seguridad son los siguientes:
 
  • La Política Corporativa de Bilbomática de los Sistemas de Información, es aprobada por la Dirección de Bilbomática.
  • Su contenido es de obligado cumplimiento para todo el personal de Bilbomática y terceros subcontratados.
  • Las medidas correctoras propuestas vinculan a los responsables de llevarlas a la práctica.
  • La implantación y el cumplimiento de la Política Corporativa de Seguridad de los Sistemas de Información debe ser verificada y comprobada con la periodicidad previamente establecida.
  • La Política Corporativa de Seguridad de los Sistemas de Información es un documento vivo que se actualiza y modifica mediante el procedimiento que en la misma se establece. Asimismo, la Política ha de ser conocida por todos los miembros de la organización de Bilbomática.

Las políticas y procedimientos desarrollados por Bilbomática, están encaminados a salvaguardar la información respecto a terceros no autorizados. El compromiso de confidencialidad viene determinado por la clasificación que Bilbomática realiza distinguiendo entre los niveles de información: confidencial, uso interno y pública.

Esta Política de Seguridad incluye las políticas/procedimientos que son parte de la Declaración de Aplicabilidad del Sistema de Gestión de la Seguridad de la Información (SGSI) de Bilbomática, a saber: Política de uso de dispositivos para movilidad, Política de control de accesos, Política de uso de los controles criptográficos, Política de escritorio limpios y pantallas bloqueadas, Políticas y procedimientos de intercambio de información, Política de desarrollo de software seguro y Política de seguridad de la información para suministradores.

Bilbomática, habilitará los medios necesarios para divulgar a todos sus empleados y personal subcontratado los procedimientos diseñados para favorecer la cultura de control. En este sentido se considera un objetivo estratégico de Bilbomática, el mantenimiento de un alto nivel de concienciación respecto a la importancia de la función de seguridad. En consecuencia, Bilbomática, considera todas las normas creadas a dichos efectos, como vinculantes para todo el personal laboral y subcontratado, por lo que se deberá observar un riguroso cumplimiento de las mismas.

 

Walter Mattheus
Director General
Revisada: 2-Enero-2017
Última modificación: 1-Enero-2014