Política Corporativa de Seguridad


CONTROL DOCUMENTAL

IDENTIFICADOR

FECHA

VERSIÓN

4

Septiembre 2025

AUTOR

CISO

 

APROBADOR

Comité de Seguridad

Septiembre 2025

DISTRIBUCIÓN

Todas las partes interesadas

 

CLASIFICACIÓN

Pública

 

ULTIMOS CAMBIOS REALIZADOS

Actualización 2025

01/09/2025

  

  1. OBJETIVO
    Definir los criterios y lineamientos esenciales para la administración, uso y protección de la información, así como de los recursos informáticos asociados a su tratamiento. Esta política se basa en normas y regulaciones nacionales e internacionales, así como en los lineamientos estratégicos de la organización.

La dirección de la firma, su cuerpo ejecutivo y todo el personal comprenden que la información, tanto propia como de clientes, es un recurso fundamental para la organización y, por tanto, asumen la responsabilidad que les corresponde en su adecuada protección.

 

  1. ALCANCE
    Esta política es aplicable a todo el personal interno o externo que realice actividades para la firma e incluye:
    • Los activos de información propiedad de la firma o de sus clientes que se encuentren bajo la custodia o administración de esta.
    • La infraestructura tecnológica que permite la generación, procesamiento, transmisión y almacenamiento de información.
    • Las instalaciones físicas donde residen los activos de información.
    • Las personas que hacen uso de los activos de información, ya sea personal de la firma, de los clientes o de empresas prestadoras de servicios.

 

  1. REVISIÓN, VALIDACIÓN Y DIFUSIÓN
    La presente política es revisada anualmente y actualizada cuando es necesario. Será aprobada por el Comité de Seguridad. Si no hay modificaciones, deberá indicarse la justificación correspondiente en el registro de cambios.

Una copia de este documento quedará disponible para el personal interno y para terceros que presten servicios dentro del alcance del SGSI.


 

 

  1. OBJETIVOS DE LA POLÍTICA
    • Establecer y comunicar las directrices generales de seguridad de la información, ciberseguridad y privacidad que rigen en BDO Chile.
    • Establecer un marco de trabajo para la implementación de controles adecuados y efectivos para proteger los activos de información durante su uso cotidiano.
    • Establecer la directriz de gestionar los riesgos a un nivel aceptable mediante el diseño, implementación y mantenimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI).


 

 

  1. REGLAS DE LA POLÍTICA
    • La Dirección de BDO Chile reafirma su compromiso con diseñar, implementar, operar, monitorear y mejorar continuamente los procesos y herramientas tecnológicas necesarias para asegurar que los riesgos de seguridad, ciberseguridad y privacidad de la información sean gestionados apropiadamente.
    • La Dirección de BDO Chile asegurará la existencia de recursos para la operación y mejora continua de un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001:2022.  
    • La Dirección de BDO Chile asegura el cumplimiento de la normativa vigente en temas de Seguridad de la Información, ciberseguridad y privacidad, y los requerimientos contractuales establecidos por los clientes.
    • La Dirección de BDO Chile reafirma su compromiso con la existencia de planes de contingencia, elaborados y mantenidos metodológicamente, para garantizar la continuidad de los servicios prestados.
    • Todo colaborador, permanente o temporal, tiene la obligación de proteger los activos de información, los sistemas y la infraestructura tecnológica de la firma, actuando siempre de forma responsable y profesional, y conforme a lo establecido por esta política y otras complementarias.
    • Todo proyecto que involucre activos de información deberá incorporar los requerimientos de seguridad y ciberseguridad desde su concepción.
    • Todo colaborador tiene la responsabilidad de notificar incidentes de seguridad y ciberseguridad, así como potenciales debilidades detectadas.

 

  1. REFERENCIAS NORMATIVAS
    Esta política se basa en las siguientes normas y regulaciones:
    • ISO/IEC 27001:2022 - Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de la Seguridad de la Información - Requisitos.
    • ISO/IEC 27002:2022 - Código de práctica para controles de seguridad de la información.
    • Ley 21663 - Ley Marco de Ciberseguridad.
    • Ley de Protección de Datos Personales y regulaciones nacionales aplicables.
    • Regulaciones y estándares específicos del sector de operación de la organización.

 

 

 

  1. MEJORA CONTINUA
     La organización implementará un proceso de mejora continua del SGSI, incluyendo:
    • Revisiones periódicas del SGSI por parte de la Dirección, al menos una vez al año.
    • Monitoreo y medición de la efectividad de los controles de seguridad implementados.
    • Auditorías internas del SGSI realizadas a intervalos planificados.
    • Identificación y gestión de no conformidades y acciones correctivas.
    • Análisis de retroalimentación de partes interesadas (clientes, empleados, proveedores, etc.).
    • Revisión de oportunidades de mejora identificadas en las actividades anteriores.
    • Implementación de cambios que permitan la mejora continua del SGSI.