Política de Seguridad de la Información

1. COMPROMISO DE LA ALTA DIRECCIÓN:

La alta dirección declara su compromiso con la seguridad de la información y la política reflejada en
este documento.

Como parte del mismo también declara su compromiso con:

– El cumplimiento de los requisitos de seguridad de la información tanto legales, derivados de normas voluntarias aplicadas en el SIGI, de relaciones contractuales o acuerdos corporativos.

– La implantación y mejora continua del SIGI

2. DEFINICION DE SEGURIDAD DE LA INORMACION:

Es el nivel de confianza que la organización desea tener de su capacidad para preservar la confidencialidad, integridad y disponibilidad de la información. Tiene como objetivo proteger el recurso información de una amplia gama de amenazas, con el fin de asegurar la continuidad del negocio, minimizar el daño y, cumplir su misión y objetivos estratégicos.

3. RESUMEN DE LA POLÍTICA

La información debe ser siempre protegida, cualquiera que sea su forma de ser compartida, comunicada o almacenada.

4. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN:

  1. Comprender y tratar los riesgos operacionales y estratégicos en seguridad de la información para que permanezcan en niveles aceptables para la organización.
  2. La protección de la confidencialidad de la información relacionada con los clientes y con las partes interesadas.
  3. La conservación de la integridad de los registros y soportes de la información.
  4. Entender y dar cobertura a las necesidades de todas las partes interesadas.
  5. Establecer las expectativas de la Dirección con respecto al correcto uso que el personal haga de los recursos de información, así como de las medidas que se deben adoptar para la protección de los mismos.

5. PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN:

  1. Los activos de información involucrados en cada proceso de la actividad de la empresa serán identificados y se analizará el nivel de riesgo al que están expuestos.
  2. Esta organización afronta la toma de riesgos y tolera aquellos que, en base a la información disponible, son comprensibles, controlados y tratados cuando es necesario. Los detalles de la metodología adoptada para la evaluación del riesgo y su tratamiento se encuentran descritos en el SIGI.
  3. El acceso y tratamiento de la información se realizará mediante un control de usuarios, permisos y cifrado de información, especificados mediante procedimientos adecuados descritos en el SGI.
  4. Las comunicaciones y transmisiones de información con el exterior se realizarán por canales o redes que garanticen la seguridad de la información descritos en el SIGI
  5. La empresa instrumentará procedimientos de copias de seguridad que garantice la integridad de la información custodiada.
  6. Todo el personal será informado y responsable de la seguridad de la información, según sea relevante para el desempeño de su trabajo.
  7. Se harán disponibles informes regulares con información de la situación de la seguridad.

7. RESPONSABILIDADES:

  1. El equipo directivo es el responsable de asegurar que la seguridad de la información se gestiona adecuadamente en toda la organización.
  2. Cada responsable de departamento garantizará que las personas que trabajan bajo su control protegen la información de acuerdo con las normas establecidas por la organización.
  3. El responsable de seguridad asesora al equipo directivo, proporciona apoyo especializado al personal de la organización y garantiza que los informes sobre la situación de la seguridad de la información están disponibles.
  4. Cada miembro del personal tiene la responsabilidad de mantener la seguridad de información dentro de las actividades relacionadas con su trabajo.

8. DESVIACIONES Y EXCEPCIONES:

  1. Los riesgos en seguridad de la información serán objeto de seguimiento y se adoptarán medidas relevantes cuando existan cambios que impliquen un nivel de riesgo no aceptable.
  2. Las situaciones que puedan exponer a la organización a la violación de las leyes y normas legales no serán toleradas.


Indicadores clave:
Los incidentes en seguridad de la información no se traducirán en costes graves e inesperados, o en una grave perturbación de los servicios y actividades comerciales.

La aceptación del cliente de los productos o servicios no se verá afectada negativamente por aspectos relacionados con la seguridad de la información.

9. POLITICAS TEMÁTICAS DE SEGURIDAD DE LA INFORMACIÓN:

En relación a los objetivos y principios establecidos en este documento, las siguientes políticas temáticas
se definen mediante el correspondiente Procedimiento General del SIGI:

  1. Control de acceso
  2. Clasificación de la información
  3. Seguridad física y ambiental
  4. Copias de seguridad
  5. Gestión de vulnerabilidades y amenazas
  6. Seguridad de las comunicaciones
  7. Gestión de activos
  8. Cifrado y encriptación de la información.