ESP ENG
Política de Seguridad de la Información

Política de Seguridad de la Información

1 - Propósito

Esta Política de Seguridad se enmarca dentro del Sistema de Gestión de la Seguridad de la Información (SGSI) y tiene como objetivo fundamental establecer las directrices generales que garanticen la gestión de la seguridad de la información de manera íntegra y coordinada con los objetivos y líneas estratégicas del negocio, la normativa aplicable y las directrices de seguridad internas de la empresa.

La información es un activo crítico y esencial por lo que en este documento se establecen los principios básicos para asegurar que el acceso, uso, custodia y salvaguarda de los activos de información se realiza de forma adecuada.

Esta Política de Seguridad asegura el compromiso manifiesto de IDESA y sus máximos responsables por garantizar y supervisar la adecuada gestión de la seguridad de la información, minimizando los riesgos derivados de las amenazas existentes en cuanto a disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad de la información.

La Política de Seguridad es un documento aprobado por la Dirección de IDESA y tiene carácter imperativo en toda la organización.

 

2 - Alcance

El alcance de esta Política de Seguridad engloba a la totalidad de las actividades de negocio que se llevan a cabo en IDESA, incluyendo los activos que soportan dichas actividades en cualquier ubicación de la empresa. Esta Política de Seguridad aplica a todo el personal relacionado con IDESA que haga uso de su información y/o sistemas de información. Esto incluye al personal interno de la empresa, así como a personal externo (clientes, proveedores, auditores, etc.).

 

3 - Objetivos

La presente Política de Seguridad, en su propósito de proteger los activos de información de IDESA en todas sus dimensiones, tiene los siguientes objetivos:

  • Garantizar el nivel de confidencialidad necesario de la información, de tal forma que ésta sólo pueda ser accedida por las personas que tienen autorización.
  • Mantener la integridad de la información, asegurando que no se produzca alteración, pérdida o destrucción, de manera no autorizada, ya sea de forma intencionada o accidental.
  • Asegurar la disponibilidad de la información siempre que sea necesaria.

Además también podrá ser necesario gestionar otros objetivos relacionados con la seguridad de la información, en función de posibles requisitos legales y/o de negocio. En concreto:

  • Proporcionar trazabilidad para conocer el histórico de acciones desarrolladas sobre la información así como su autoría.
  • Acreditar la autenticidad de la información, pudiendo contrastar la identidad de su autor sin lugar a dudas.

 

4 - Principios básicos

En el presente apartado se especifican los principios básicos a tener siempre en cuenta en cualquier actividad relacionadas con el tratamiento de la información, para permitir alcanzar los objetivos descritos en el apartado anterior:

  • Alcance estratégico: la seguridad de la información deberá estar integrada y coordinada con el resto de iniciativas estratégicas de la empresa, formando así un marco de trabajo coherente, eficiente y eficaz.
  • Enfoque integral: la seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los activos de información. Para ello, la seguridad de la información deberá considerarse como parte de la operativa habitual en todos los procesos de negocio.
  • Proporcionalidad: la implantación de medidas de seguridad deberá hacerse bajo un enfoque de proporcionalidad basado en los riesgos a mitigar así como en los costes operativos y económicos asociados.
  • Diseño e implantación de procesos: se deberán implementar medidas de seguridad para prevenir, detectar, reaccionar y recuperarse de posibles incidencias que afecten a los objetivos de seguridad descritos en este documento.
  • Segregación de funciones: se deberá implementar una adecuada segregación funcional en todos los aspectos relacionados con la seguridad de la información.
  • Cumplimiento: los sistemas de información deberán dar cumplimiento a toda la legislación, normativa o regulación aplicable en materia de seguridad.
  • Gestión de riesgos: todos los activos de información deberán estar sujetos a un análisis periódico de riesgos para identificar las amenazas a las que puedan estar expuestos.
  • Concienciación y formación: se deberán desarrollar acciones para concienciar y formar a todo el personal en materia de seguridad de la información.
  • Mejora continua: las medidas de seguridad tendrán que ser evaluadas y actualizadas periódicamente en un proceso de mejora continua, de tal forma que se adapten sus propósitos a los posibles cambios en los riesgos y en los sistemas de información.

 

5 - Compromiso de la Dirección

La Dirección de IDESA, siendo plenamente consciente de la importancia de la seguridad de la información para sus procesos de negocio, se compromete a:

  • Asegurarse que la Política de Seguridad de la información se establezca, integre y cumpla en todos los procesos de la organización.
  • Facilitar la asignación de los recursos necesarios para desarrollar el Sistema de Gestión de Seguridad de la Información (SGSI).
  • Constituir los roles y responsabilidades en materia de seguridad de la información.
  • Impulsar la formación y concienciación respecto a la seguridad de la información entre todos los empleados.
  • Promover la mejora continua en todos los procesos relacionados con la seguridad de la información.

 

6 - Roles y Responsabilidades

La definición de roles así como la asignación de responsabilidades realizadas en el ámbito de la seguridad de la información en IDESA están especificadas en un documento interno, disponible públicamente para todos los empleados.

 

7 - Obligaciones del personal

Todos los empleados de IDESA tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y las normas de seguridad que de ella se deriven, siendo responsabilidad de la Dirección de IDESA (o quien ésta decida) disponer de los medios necesarios para que la Política sea conocida por todos los afectados.

Asimismo, todos los empleados de IDESA tienen la obligación y responsabilidad de notificar a la Dirección de IDESA (o quien ésta decida) cualquier incidente o delito identificado que pudiera comprometer la seguridad de los activos de información.

Todos los empleados de IDESA con acceso a sistemas de información recibirán sesiones o material de concienciación en materia de seguridad de la información de forma periódica. De la misma forma los empleados con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida que sea necesario para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

 

8 - Revisión y actualización de la Política

La Política de Seguridad será revisada por el Comité de Seguridad a intervalos planificados, que deberán ser inferiores a 2 años o siempre que haya cambios significativos que así lo aconsejen, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

Cualquier actualización de esta Política deberá ser difundida a todas las partes implicadas.

 

9 - Comunicación de la Política

La presente Política de Seguridad estará disponible para su consulta por todos los empleados de IDESA en los sistemas de información de la organización y/o publicada en su página web. También se desarrollarán las acciones necesarias para su comunicación, comprensión y puesta en práctica.

 

Aviso legal | Política de privacidad | Política de seguridad de la información | Política de cookies | Canal Ético
Diseño web: ticmedia.es