Política de Seguridad de la Información

Introducción

La Política de Seguridad de la organización refleja los conceptos, principios, responsabilidades y objetivos en materia de seguridad, cuyos resultados permiten garantizar a la compañía la libertad de acción necesaria.

El objetivo de la Seguridad Integral de la organización es proteger a las personas que trabajan en la empresa, la confidencialidad de sus comunicaciones y la integridad de su información. También vela por los demás activos que componen el patrimonio de la compañía, como son las instalaciones o los contenidos de todo género.

La Seguridad Integral comprende los conceptos tradicionales de la seguridad física y de la seguridad lógica (tecnológica) a fin de mantener la continuidad del negocio ante cualquier circunstancia adversa.

Un aumento de la «cultura de seguridad» en el personal de la empresa  proporcionará beneficios claros al incrementar la seguridad de los sistemas y de los procedimientos, y minimizará el riesgo de potenciales actuaciones maliciosas.

Resulta esencial que toda la información referente a los asuntos de seguridad fluya por los canales adecuados hacia los órganos de decisión de la compañía

Principios

• Integración. La Seguridad Global es un proceso integrado y alineado con el negocio, en el que participa toda la empresa.
• Rentabilidad. La Seguridad se guía por criterios de negocio, teniendo en cuenta la relación entre gasto e inversión. Sus criterios se fijan de forma centralizada, aprovechando cualquier sinergia existente. Esta gestión permite una reducción global del gasto y un mejor rendimiento del esfuerzo aplicado a la seguridad.
• Continuidad La seguridad debe de estar presente durante todo su ciclo de trabajo: protección, prevención, detección, respuesta y recuperación.
• Adecuación Los medios empleados deben adaptarse al entorno del negocio. Entre otros factores, se destacan por su impacto en el negocio y en los niveles de seguridad de la organización la competencia con otras empresas, los desórdenes de índole social, política y económica, el “hacking” amateur o profesional…

Responsabilidades

• La responsabilidad última de la seguridad corresponde al equipo de management, que es el responsable directo de gestionar su desarrollo e implantación.
• El equipo de management analizará los riesgos y vulnerabilidades en materia de seguridad que puedan afectar al buen funcionamiento del negocio y propondrá las normas, medios y medidas procedentes para minimizarlas.
• Todo el personal de la organización debe asumir la responsabilidad de mantener la seguridad de los activos a su cargo, observando las normas de seguridad que se implanten desde el equipo de management.

Objetivos

• Conseguir y mantener el nivel de seguridad requerido para garantizar de forma adecuada la continuidad del negocio, incluso en situaciones adversas.
• Incrementar la integración y el apoyo mutuo de los aspectos físicos y lógicos de la seguridad.
• Colaborar en la gestión de las demás disciplinas de seguridad, incluyendo los aspectos laborales y medioambientales, atendiendo a los criterios que potencien la Responsabilidad Social Corporativa.
• Establecer la estructura corporativa de seguridad definida por los órganos de decisión de la organización y crear los canales de comunicación adecuados entre todos los implicados.
• Cumplir con la normativa oficial en materia de seguridad y otros requisitos.
• Establecer e implantar Planes de Formación y de Divulgación de Seguridad para mejorar la formación del personal.
• Compromiso expreso de la mejora contínua.
• Integrar a los distintos departamentos de la empresa en un sistema de gestión de la seguridad que, bajo criterios comunes, aproveche las sinergias y logre consistencia en los recursos y acciones.
• Todo el personal de la organización  conocerá y aplicará   la normativa que desarrolle esta Política de Seguridad.

Certificado ISO/IEC 27001:2013