Logo Logo

Seguridad de la Información y Ciberseguridad en BAC

Seguridad de la Información y Ciberseguridad en BAC

 

En BAC, la seguridad de la información y la ciberseguridad constituyen pilares esenciales para proteger la información de los clientes, la continuidad de los servicios y la confianza en las operaciones. El enfoque adoptado articula gobernanza, gestión de riesgos, controles de seguridad y mejora continua, alineados con estándares y marcos de referencia reconocidos a nivel internacional.

 

Gobernanza

BAC mantiene un modelo de gobernanza corporativa que integra la seguridad de la información y la ciberseguridad como elementos fundamentales para la protección de sus operaciones, clientes y grupos de interés. 

La organización dispone de funciones ejecutivas especializadas y estructuras de gobierno responsables de liderar la estrategia, implementación y evolución del Sistema de Gestión de Seguridad de la Información, garantizando su alineación con estándares internacionales y mejores prácticas de la industria.

Como parte de estas estructuras, BAC cuenta con el Comité de Gestión Integral de Riesgos y el Foro de Seguridad de la Información, instancias que incorporan la participación de la Alta Dirección, incluyendo Presidencia y Vicepresidencia. Estos órganos permiten una supervisión efectiva de la gestión de la seguridad de la información, facilitando la toma de decisiones y el seguimiento de riesgos, controles e iniciativas estratégicas en la materia.

 

Política de Seguridad de la Información y Ciberseguridad

BAC dispone de una Política de Seguridad de la Información y Ciberseguridad de carácter corporativo, alineada con estándares internacionales y aplicable a colaboradores y terceros que gestionan información o utilizan recursos tecnológicos de la organización.

 

Compromisos de la política

La política corporativa de seguridad de la información de BAC incluye los siguientes compromisos: 

 

Mejora continua de la seguridad de la información: BAC mantiene un modelo de Gestión de Seguridad de la Información que incorpora auditorías internas periódicas y un enfoque de mejora continua, alineado con estándares y mejores prácticas reconocidas a nivel internacional, tales como ISO 27001, NIST, PCI y COBIT. 

Protección integral de los datos: La organización protege la información para garantizar su confidencialidad, integridad, disponibilidad y privacidad a lo largo de todo su ciclo de vida. 

Monitoreo y respuesta ante amenazas: BAC dispone de procesos orientados a la identificación, detección, gestión y respuesta oportuna a eventos e incidentes de seguridad de la información y ciberseguridad.  Asimismo, se ponen a disposición mecanismos institucionales para el reporte adecuado de dichos eventos por parte del personal.

Roles y responsabilidades definidos: Se establecen responsabilidades claras en todos los niveles de la organización, incluyendo Alta Dirección, colaboradores y terceros, promoviendo una cultura de seguridad sólida y compartida. 

Seguridad en la relación con terceros: Los proveedores y terceros deben cumplir con estándares y controles de seguridad establecidos por la organización, incluyendo obligaciones contractuales para la protección de la información.

 

Enfoque de gestión

BAC gestiona la seguridad de la información mediante:

  • Un enfoque basado en riesgos, que contempla la identificación, evaluación y mitigación.
  • La implementación de controles preventivos, detectivos y correctivos.
  • Un modelo de gobernanza y supervisión liderado por la Alta Dirección.
  • Programas de concientización y capacitación para colaboradores.

 

Marcos de referencia y estándares 

BAC fortalece su modelo de ciberseguridad alineando su gestión con el NIST Cybersecurity Framework (CSF) 2.0, un marco de referencia reconocido internacionalmente para la gestión del riesgo de ciberseguridad. Este enfoque contribuye a integrar la seguridad en la estrategia del negocio, promover una gestión basada en riesgos y fortalecer la mejora continua de las capacidades de protección, monitoreo, respuesta y recuperación.

  • Gobernar: Establecer la estrategia, supervisión, políticas, roles y responsabilidades para la gestión del riesgo de ciberseguridad.
  • Identificar: Comprender los activos, procesos, datos, servicios y riesgos que deben ser gestionados y protegidos.
  • Proteger: Implementar salvaguardas y controles para reducir la probabilidad e impacto de eventos de seguridad.
  • Detectar: Identificar de manera oportuna actividades anómalas, eventos e incidentes de ciberseguridad.
  • Responder: Ejecutar acciones para contener, gestionar y comunicar incidentes de seguridad de manera efectiva.
  • Recuperar: Restablecer capacidades y servicios afectados, incorporando lecciones aprendidas para fortalecer la resiliencia.

La adopción de este marco de referencia refuerza el compromiso de BAC con una gestión de seguridad estructurada, consistente y orientada a la protección de la información, la continuidad de los servicios y la confianza de sus clientes y demás partes interesadas. 

BAC fortalece continuamente su Sistema de Gestión de Seguridad de la Información tomando como referencia mejores prácticas de la norma ISO 27001, con el objetivo de proteger la confidencialidad, integridad y disponibilidad de la información, asegurando una gestión integral y alineada con estándares internacionales.

En este contexto, BAC adopta un enfoque estructurado basado en mejores prácticas, gestión de riesgo y requerimientos regulatorio, los cuales comprenden:

  • Contexto de la organización: Se define el entorno, el alcance del SGSI y las partes interesadas relevantes para la seguridad de la información.
  • Liderazgo: Se asegura el compromiso de la alta dirección y se establece la política de seguridad de la información.
  • Planificación: Se gestionan los riesgos de seguridad y se establecen objetivos alineados al negocio.
  • Soporte: Se disponen los recursos, competencias, comunicación y control documental necesarios para el SGSI.
  • Operación: Se ejecuta el tratamiento de riesgos y la implementación de controles de seguridad.
  • Evaluación del desempeño: Se realiza el seguimiento, medición y auditorías internas del SGSI.
  • Mejora: Se impulsa la mejora continua.
  • Controles organizacionales: Establecen políticas, gobernanza y gestión de riesgos de seguridad de la información.
  • Controles de personas: Promueven la concienciación y definen responsabilidades del personal en seguridad.
  • Controles físicos: Protegen instalaciones y activos frente a accesos no autorizados o daños físicos.
  • Controles tecnológicos: Aseguran la protección de sistemas, accesos, redes y gestión de vulnerabilidades.

 

Cumplimiento y continuidad 

BAC integra la seguridad de la información dentro de su marco de cumplimiento, continuidad del negocio y resiliencia organizacional, con el propósito de fortalecer la capacidad de prevenir, resistir, responder y recuperarse ante eventos que puedan afectar sus operaciones o la información bajo su custodia. 

Este enfoque contempla el cumplimiento de regulaciones, leyes, estándares y compromisos aplicables en los países donde opera BAC. 

Asimismo, incorpora la seguridad de la información como un componente esencial de la continuidad del negocio y de la resiliencia operativa, contribuyendo a la estabilidad y confiabilidad de los servicios brindados a clientes y demás partes interesadas.