Security Policy

Versión en castellano aquí

Table of content

STATEMENT OF INFORMATION SECURITY PRINCIPLES

Information security is the set of processes and measures, both technical and organizational, designed to protect and preserve information in its three main dimensions, which are:

 

CONFIDENTIALITY

Property that guarantees that information is accessible only to those authorized to have access.

– Assets, particularly information, should only be accessible to authorized users.

– Measures must be in place to prevent unauthorized access, whether intentional or accidental, to assets.

 

INTEGRITY

Property that guarantees the accuracy and completeness of information and its processing, communication, and storage processes.

– The accuracy and completeness of information and associated processes, such as processing, communication, and storage processes, must be protected.

– Measures must be in place to prevent the total or partial, accidental or intentional modification or destruction of assets.

 

AVAILABILITY

Property that allows information to be used in the manner and time required.

– Information assets, and the assets that support them, must be accessible to authorized users whenever needed (in the manner and time required).

– The organization must be able to respond diligently to incidents that affect asset availability.

To this end, information security must:

– Protect the life and safety of people on Broox Technologies premises.

– Establish a commitment to ensuring the security of Broox Technologies’ information assets.

– Align its objectives with the organization’s strategic objectives and business needs.

– Be integrated into all phases of the organization’s information lifecycle, technological systems, and processes.

– Ensure the availability of the necessary resources for the ISMS. These resources must be adequate for the development of the ISMS.

– Communicate the importance of effective information security management that complies with ISMS requirements.

– Ensure that the ISMS achieves the results intended by the Organization.

– Be governed by a mandatory set of standards that respond to the Organization’s needs.

– Comply with applicable legal and regulatory requirements and align with internationally recognized standards and good practices.

– Be understood as a defined and comprehensive process oriented toward continuous improvement and framed within the Deming cycle (PDCA: Plan, Do, Check, Act).

– Be supported by adequate analysis and management of risks that affect the confidentiality, integrity, and availability of information.

– Ensure its governance and management by defining an Information Security organizational structure.

– Translate the above principles into an Information Security Standards Set, which will establish the Information Security guidelines and measures to be followed by the Organization in its various areas.

– Ensure the dissemination and awareness of the ISMS Security Policy, as well as the Information Security Standards.

VALIDITY

This document will enter into force on the day of its approval (February 19, 2024).

SUPERVISION AND COMPLIANCE

Regarding the supervision and compliance of the document, it is established that:

– It will be periodically reviewed by the Security Committee, which must ensure that it is up to date.

– Management will ensure its proper compliance.

– Any exception to the provisions herein must be formally authorized by Management.

– Noncompliance must be reported and escalated as soon as it occurs or, failing that, as soon as it becomes known.

Índice

DECLARACIÓN DE PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es el conjunto de procesos y medidas, tanto técnicas como organizativas, destinadas a proteger y preservar la información en sus tres dimensiones principales, siendo éstas:

 

CONFIDENCIALIDAD

Propiedad que garantiza que la información es accesible sólo para aquellos autorizados a tener acceso.

– Los activos, en particular la información, sólo debe ser accesible a los usuarios autorizados.

– Deben existir medidas que prevengan el acceso no autorizado, ya sea intencionado o accidental, a los activos.

 

INTEGRIDAD

Propiedad que garantiza la exactitud y completitud de la información y sus procesos de tratamiento, comunicación y almacenamiento.

– Se debe proteger la exactitud y completitud de la información y los procesos asociados, como procesos de tratamiento, comunicación y almacenamiento.

– Deben existir medidas que prevengan la modificación o destrucción, total o parcial, accidental o intencionada, de los activos.

 

DISPONIBILIDAD

Propiedad que permite utilizar la información en la forma y tiempo requeridos.

– Los activos de información, y aquellos activos que los soportan, deben estar accesibles para los usuarios autorizados siempre que se necesiten (en la forma y tiempo requeridos).

– La organización debe ser capaz de responder diligentemente a incidentes que afecten la disponibilidad de los activos.

Con este propósito, la seguridad de la información deberá:

– Proteger la vida e integridad de las personas que se encuentren en las instalaciones de Broox Technologies.

– Establecer el compromiso para garantizar la seguridad de los activos de información de Broox Technologies.

– Alinear sus objetivos con los objetivos estratégicos y las necesidades de negocio de la Organización.

– Integrarse en todas las fases del ciclo de vida de la información, sistemas tecnológicos y procesos de la Organización.

– Asegurar la disponibilidad de los recursos necesarios para el SGSI. Dichos recursos serán adecuados para el desarrollo del SGSI.

– Comunicar la importancia de una gestión de la seguridad de la información eficaz y conforme con los requisitos del SGSI.

– Asegurar que el SGSI consigue los resultados previstos por la Organización.

– Regirse por un cuerpo normativo de obligado cumplimiento que responde a las necesidades de la Organización.

– Cumplir con los requerimientos legales y normativos aplicables, y alinearse con los estándares y buenas prácticas internacionalmente reconocidos.

– Entenderse como un proceso definido e integral orientado a la mejora continua y enmarcado dentro del ciclo de Deming (PHVA: Planificar, Hacer, Verificar y Actuar; en inglés PDCA).

– Apoyarse en un adecuado análisis y gestión de los riesgos que afecten a la confidencialidad, integridad y disponibilidad de la información.

– Garantizar su gobernabilidad y gestión mediante la definición de una estructura organizativa de Seguridad de la Información.

– Trasladar los principios anteriores a un Cuerpo Normativo de Seguridad de la Información, que establecerá las directrices y medidas de Seguridad de la Información a cumplir en la Organización en sus diferentes ámbitos.

– Asegurar la difusión y el conocimiento de la Política de Seguridad para el SGSI, así como del Cuerpo Normativo de Seguridad de la Información.

VIGENCIA

Este documento entrará en vigor desde el mismo día de su aprobación (19-02-2024)

SUPERVISIÓN Y CUMPLIMIENTO

En cuanto a la supervisión y cumplimiento del documento, se establece que:

– Se revisará de forma periódica por el Comité de Seguridad, quien debe garantizar que se encuentra actualizada.

– La Dirección velará por su correcto cumplimiento.

– Cualquier excepción de lo establecido en ella, deberá ser autorizada formalmente por la Dirección.

– Su incumplimiento deberá ser notificado y escalado en el momento en el que se produzca o, en su defecto, en el que se tenga conocimiento.