Switch Language
  • ES
x brigar&Urrutia logo lupa
Idioma
x brigar&Urrutia logo lupa
Idioma

1.    Generalidades

1.1.    Objetivo

Establecer la Política del Sistema de Gestión de Seguridad y Privacidad de la Información de Brigard & Urrutia Abogados S.A.S. y empresas aliadas y subordinadas, garantizando que:

  • Sea apropiada al propósito y objetivos estratégicos de las Firmas.

  • Provea la base para el establecimiento de objetivos medibles y alcanzables relacionados con la seguridad y privacidad de la información.

  • Incluya el compromiso de proteger los activos de información frente a amenazas cibernéticas.

  • Incluya el compromiso con la mejora continua del Sistema de Gestión de Seguridad y Privacidad de la Información a través de auditorías internas, revisiones de la dirección y acciones correctivas.

  • Defina claramente el alcance de la política, indicando las áreas, procesos y activos de información cubiertos.

  • Establezca roles y responsabilidades específicos para la implementación y mantenimiento de la política.

  • Enfatice la importancia de realizar evaluaciones periódicas de riesgos para identificar y mitigar amenazas, incluyendo amenazas cibernéticas emergentes.

  • Destaque la necesidad

1.2.    Alcance

Este documento contiene la Política adoptada por Brigard & Urrutia Abogados S.A.S. y empresas aliadas y subordinadas para el Sistema de Gestión de Seguridad y Privacidad de la Información y está dirigida a todos los empleados, Unidades de Apoyo, Equipos de Alto Rendimiento (EAR), proveedores y contratistas de las Firmas.

1.3.    Definiciones

  • Activo de Información: Se refiere a cualquier información o elemento relacionado con el tratamiento de esta (sistemas, soportes, personas) que tenga valor para la organización.

  • Amenaza: Potencial causa de un incidente no deseado, que puede resultar en daño a un sistema o a la organización.

  • Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.

  • Control de Seguridad: Medida que modifica el riesgo. Los controles de seguridad pueden incluir políticas, procedimientos, directrices, prácticas o estructuras organizativas.

  • Dato Personal: Es cualquier información, vinculada o que pueda asociarse a una o varias personas naturales o jurídicas determinadas o determinables.

  • Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada.

  • Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

  • Incidente de Seguridad: Un evento adverso en un entorno informático, que compromete la confidencialidad, integridad o disponibilidad de la información. Es una violación a una política de seguridad de la información, política aceptable de uso o mejores prácticas de seguridad.

  • Información: Conjunto de datos, ya procesados y ordenados para su comprensión, que aportan nuevos conocimientos a un individuo o sistema sobre un asunto, materia, fenómeno o ente determinado.

  • Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos.

  • Mejora Continua: Acción permanente realizada con el fin de aumentar la capacidad para cumplir los requisitos y optimizar el desempeño.

  • Privacidad: Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión.

  • Riesgo: Efecto de la incertidumbre sobre los objetivos.

  • Vulnerabilidad: Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.

1.4.    Responsabilidades

Este documento es generado y actualizado por el/la Oficial de Seguridad de la Información, aprobado por el/la Representante de la Alta Dirección a cargo de la Secretaria General y Oficial de Cumplimiento, el documento será revisado por el grupo de Trabajo de Seguridad y Privacidad de la Información en caso de presentarse observaciones se realizarán los respectivos ajustes.
Es responsabilidad de todo el personal de Brigard & Urrutia Abogados S.A.S. y empresas aliadas y subordinadas seguir los parámetros especificados en esta política.Es responsabilidad del/de la Oficial de Seguridad de la Información verificar el cumplimiento en todas las áreas de las Firmas.

A continuación, se establecen las responsabilidades del cumplimiento de la política.

  • Alta Dirección:
    • Proveer liderazgo, apoyo y brindar los recursos para la implementación, mantenimiento y mejora del SGSI.
    • Asegurar que la seguridad de la información esté alineada con los objetivos estratégicos de la organización.
       
  • Grupo de Trabajo de Seguridad y Privacidad de la información
    • Difundir y promover el cumplimiento de la política de Seguridad y Privacidad de la Información en sus respectivos equipos.
    • Implementar controles de seguridad y monitorear su efectividad.
    • Realizar auditorías internas y revisiones de seguridad.
    • Coordinar la respuesta ante incidentes de seguridad, incluyendo la gestión de recursos especializados como peritos forenses informáticos cuando el análisis técnico lo requiera.
       
  • Secretaria General y Oficial de Cumplimiento – Representante por la alta dirección
    • Asegurar cumplimiento legal y regulatorio en la protección de datos.
    • Actuar como punto de contacto para las autoridades de protección de datos y los interesados.
    • Supervisar la implementación de controles específicos para la protección de los datos.
       
  • Oficial de seguridad de la información
    • Desarrollar, mantener y actualizar la política de seguridad de la información y privacidad de la información.
    • Supervisar la implementación del Sistema de Gestión de Seguridad y Privacidad de la información.
    • Coordinar evaluaciones de riesgos y gestionar incidentes de seguridad.
    • Promover la cultura de seguridad y privacidad.
       
  • Colaboradores/strong>
    • Identificar y reportar riesgos y posibles incidentes de seguridad de la información.
    • Cumplir con las políticas y procedimientos de Seguridad y Privacidad de la información.
       
  • Proveedores y Contratistas
    • Cumplir con los requisitos de seguridad y privacidad de la información establecidos en los contratos.
    • Implementar controles acordes a los niveles de riesgo.
       
  • Dirección IT
    • Aplicar e implementar los controles que permitan mantener la seguridad de redes, sistemas y aplicaciones.
    • Aplicar parches, monitorear vulnerabilidades y gestionar accesos.

2.    Principios Rectores

  • Confidencialidad: La información solo puede ser accedida por personas autorizadas.
  • Integridad: La información debe mantenerse completa, exacta y sin alteraciones indebidas.
  • Disponibilidad: La información debe estar disponible para quienes la necesiten, cuando la necesiten.
  • Privacidad: Los datos personales deben ser tratados conforme a la ley, garantizando los derechos de los titulares.
  • Cumplimiento ético y legal: El ejercicio jurídico debe respetar tanto la legislación aplicable como los principios deontológicos del derecho.

3.    Política

3.1.    Política del Sistema de Gestión de Seguridad y Privacidad de la Información

Con el propósito de cumplir la misión de estar a la vanguardia para simplificar lo complejo, agregar valor a nuestro entorno, transformar la industria legal y dejar un legado duradero, Brigard & Urrutia Abogados S.A.S. y empresas aliadas y subordinadas, han adoptado un Sistema de Gestión de Seguridad y Privacidad de la Información.

Este sistema respalda la labor de su equipo multidisciplinario de abogados especializados en las distintas áreas del Derecho de los Negocios, y tiene como objetivo asegurar la gestión adecuada de los riesgos asociados a la información durante el desarrollo de sus operaciones, garantizando así la confidencialidad, integridad, disponibilidad y privacidad y protección frente a amenazas cibernéticas.

En este contexto, las Firmas se comprometen a:

  1. Preservar la confidencialidad, integridad, disponibilidad y privacidad de la información reconociéndola como un activo estratégico para la prestación del servicio y la toma de decisiones.
  2. Proteger la información y sus infraestructuras tecnológicas, como parte de una estrategia de gestión de riesgos, continuidad del negocio y cultura de seguridad y privacidad de la información.
  3. Identificar analizar, tratar y monitorearlos riesgos que afectan la información, garantizando cumplimiento de los requisitos legales, contractuales, regulatorios y de negocio, y contribuyendo a la sostenibilidad y competitividad de las Firmas.
  4. Fomentar y mantener una cultura de seguridad, mediante programas de formación continua en buenas prácticas de seguridad y privacidad que contribuya a minimizar la probabilidad de ocurrencia y el eventual impacto de incidentes de seguridad y privacidad de la información.
  5. Fortalecer la resiliencia digital de los servicios críticos, mediante la implementación, mantenimiento y ejecución del Plan de Continuidad del Negocio (BCP).
  6. Garantizar el tratamiento adecuado de los datos personales, conforme a la Ley 1581 de 2012 y la Norma ISO/IEC 27701
  7. Mejorar continuamente el SGSPI, fortaleciendo los controles auditando los procesos, gestionando oportunamente los incidentes y reduciendo su impacto.

Esta Política es de obligatorio cumplimiento para todos los empleados, proveedores y contratistas de Brigard & Urrutia Abogados S.A.S. y empresas aliadas y subordinadas. El incumplimiento será considerado un incidente de seguridad de la información y una violación al Reglamento Interno de Trabajo, y será tratado de acuerdo con los procedimientos y políticas disciplinarias de las Firmas. Ver. Capítulo “Escala de faltas y sanciones disciplinarias” en el Reglamento Interno de Trabajo Brigard & Urrutia Abogados S.A.S., Brigard & Castro S.A.S y el de las empresas aliadas y subordinadas según corresponda.

4.    Referencias

  • Norma ISO/IEC 27000: Sistema de Gestión de Seguridad de la Información (SGSI) - Información general y vocabulario.

  • Norma ISO/IEC 27001: Requisitos para la implantación del Sistema de Gestión de Seguridad de la Información (SGSI).

  • Norma ISO/IEC 27002: Código de práctica para la gestión de la seguridad de la información.

  • Norma ISO/IEC 27701: Extensión Norma ISO/IEC 27001 e ISO/IEC 27002, Requerimientos para la implementación de un Sistema de Gestión de Privacidad de la Información.

  • Ley 1581 de 2012: La Ley de Protección de Datos Personales reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por las Firmas es de naturaleza pública o privada.