Política de seguridad de la información
Histórico de cambios
| Fecha | Versión | Creado por | Descripción del cambio |
|---|---|---|---|
| 2019-01-16 | 1.0 | Responsable del SGSI | Versión inicial |
| 2021-09-16 | 2.0 | Responsable del SGSI | Revisión periódica |
| 2023-12-13 | 3.0 | Responsable del SGSI | Revisión y actualización del documento |
Contenido
Objetivo
El objeto del presente documento es establecer las directrices necesarias para asegurar los sistemas de información necesarios para la prestación de los servicios mediante el cumplimiento de todas las obligaciones legales aplicables dentro del Sistema de Gestión de Seguridad de la Información (SGSI) de PROFILE SOFTWARE SERVICES, S.L., en adelante PROFILE, determinando si dicho sistema cumple con las disposiciones planificadas para la gestión de la seguridad de la información en base al estándar internacional ISO/IEC 27001 “Sistemas de Gestión de la Seguridad de la Información” (SGSI). Así mismo, se asegurará que todos los componentes del servicio se encuentran bajo control, para seguir prestando los servicios con la calidad que esperan los/as clientes, evitando problemas que puedan afectar a la seguridad de los sistemas y servicios.
Responsabilidades
Será responsabilidad del Comité de seguridad, del responsable del SGSI, del auditor/a interno/a si lo hubiere y de la Gerencia de la organización
Objetivos del sistema de gestión
- Asegurar la confidencialidad, integridad y disponibilidad de la información.
- Cumplir todos los requisitos legales aplicables a la organización.
- Gestionar los Riesgos de Seguridad de la Información.
- Establecer periódicamente objetivos de mejora alineados con la presente política.
- Satisfacer las expectativas y requerimientos de las partes interesadas.
- Elaborar un plan de continuidad que permita recuperarse ante un desastre en el menor tiempo posible.
- Formar y concienciar a todos los empleados en materia de seguridad de la información.
- Registrar y gestionar adecuadamente todos los incidentes de seguridad ocurridos.
- Informar a todos/as los empleados/as de sus funciones y obligaciones de seguridad y la responsabilidad de cumplirlas.
- Realizar revisiones periódicas con el objetivo de mejorar de forma continua la seguridad de la información de la organización.
- Mejorar de forma continua el SGSI y, por ende, la seguridad de la información de la organización.
Planificación
Las actuaciones a llevar a cabo por PROFILE para cumplir con los objetivos de seguridad pasan por la implantación, operación y mantenimiento del sistema de gestión de la seguridad de la información, que en todo momento está alineado con esta política.
De cara a garantizar una correcta gestión de la seguridad, PROFILE realiza un estudio de la seguridad de la organización a través de un análisis de riesgos y el establecimiento de un plan de tratamiento de riesgos para aquellos riesgos no aceptados por el Comité de Gestión de la organización.
El procedimiento para llevar a cabo el análisis de riesgos se encuentra documentado en SGSI Metodología de Análisis Riesgos, donde se establecen los requisitos para evaluar las distintas amenazas a las que están expuestos.
Implantación
Una vez que se ha realizado la evaluación de los riesgos de seguridad y en función de los resultados obtenidos en la fase de planificación, es tarea del Responsable de Seguridad con el apoyo del Comité, implantar determinados controles de seguridad para aquellas amenazas que tienen un nivel de riesgo no asumido por la organización, además de operar los procedimientos del sistema de gestión para dar cumplimiento a las exigencias del proceso.
Revisión
La política de seguridad de la información y la evaluación de riesgos son revisados regularmente a intervalos planificados o si ocurren cambios significativos para asegurar la continua idoneidad, eficacia y efectividad de la misma. De forma genérica
son revisados anualmente mediante la realización de la auditoría interna del SGSI o la revisión del sistema por parte de Dirección, la cual juega un importante papel realizando un profundo análisis del sistema y detectando posibles mejoras y deficiencias.
Mejora
Las mejoras de la política de seguridad de la información y del SGSI son establecidas bien durante las fases de revisión o bien en base a aportaciones que se consideren interesantes tanto del personal de la organización como de personal externo.
Los resultados obtenidos en base a la realización de la auditoría interna son revisados por el Responsable de Seguridad y elevados a Comité del SGSI, donde se establecerán oportunidades de mejora del sistema.
Todo el SGSI se enmarca dentro del ciclo de Deming (ciclo PDCA), basado en la planificación de actividades, su implantación y operación, su revisión y su posterior mejora. Todo ello aplicado a la seguridad de la información.
Responsabilidades de los usuarios
- Los/as usuarios/as de los sistemas de información deberán esforzarse en hacer promover un uso eficiente de los mismos a fin de evitar tráfico innecesario en la red.
- Será responsabilidad de los/as propios/as usuarios/as la correcta custodia de los activos que tengan en posesión para el desempeño de sus labores contractuales.
- No divulgar, ni utilizar directamente la información a la que tengan acceso durante su relación laboral con PROFILE. Todos los compromisos deberán mantenerse, incluso después de extinguida la relación laboral con la empresa.
- Asegurar que todos/as los/s empleados/as y terceros entienden sus responsabilidades y son adecuados para llevar a cabo las funciones que les corresponden, de cara a reducir el riesgo de robo, fraude o uso indebido de los recursos puestos a su disposición.
- Se prevendrá todo tipo de acceso físico no autorizado y se tomarán medidas de seguridad para evitar pérdidas, daños, robos o circunstancias que pongan en peligro los activos o que puedan provocar la interrupción de las actividades de PROFILE.
- Los/as usuarios/as de internet y correo electrónico deberán hacer un uso eficiente de las redes, así como preservar la confidencialidad e integridad de la información transmitida a través de estos medios.
- Se controlará el acceso a los sistemas de información de la organización para que solo sea realizado por personal autorizado y en las condiciones de seguridad que la organización ha decidido operar.
- Toda incidencia de seguridad deberá ser registrada.
- Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas de información de PROFILE.
