Image

Política de seguridad de la información de SOLUCIONES INFORMÁTICAS AMBIENTALES

Introducción

SOLUCIONES INFORMÁTICAS AMBIENTALES SL depende de los sistemas de redes, información y ciberseguridad para alcanzar sus objetivos y garantizar la continuidad de sus operaciones. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a amenazas y riesgos que puedan comprometer la confidencialidad, integridad, trazabilidad, autenticidad o disponibilidad de la información tratada o los servicios prestados. Asimismo, se debe garantizar la ciberresiliencia y la capacidad de respuesta ante incidentes que afecten la infraestructura crítica.

El objetivo de la seguridad de los sistemas de redes, información y ciberseguridad es garantizar la resiliencia, integridad y disponibilidad de los datos y la prestación continuada de los servicios esenciales y críticos, mediante un enfoque basado en la gestión de riesgos, prevención, supervisión continua y respuesta eficiente ante incidentes de ciberseguridad.

Los sistemas de redes y de información deben estar protegidos contra amenazas en evolución que puedan comprometer la confidencialidad, integridad, autenticidad, disponibilidad, uso legítimo de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que la organización debe aplicar las medidas mínimas de seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad de los sistemas de redes y de información sea una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, incluyendo las decisiones de desarrollo, adquisición y explotación. Los requisitos de ciberseguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación estratégica, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC, asegurando la resiliencia, la gestión de riesgos y la seguridad en la cadena de suministro.

La organización debe estar preparada para prevenir, detectar, reaccionar y recuperarse de cualquier incidente que pueda afectar sus sistemas críticos.

Alcance

El alcance general de los sistemas de información asociados a los procesos de negocio que están sujetos a certificación de la norma UNE ISO/IEC 27001 es el siguiente:

“Los sistemas de información que dan soporte a los servicios de:

  • Desarrollo, comercialización, implantación, mantenimiento y soporte software orientados a la generación, gestión y distribución de fichas de datos de seguridad (SDS).
  • Elaboración y actualización de fichas de seguridad, incluyendo asesoramiento técnico y normativo especializado.
  • Soporte técnico integral a clientes, incluyendo resolución de dudas funcionales, problemas técnicos, consultas legislativas y gestión de bases de datos asociadas.
  • Consultoría de fichas de datos de seguridad.

De acuerdo con la Declaración de Aplicabilidad vigente.”

Misión, compromiso, liderazgo y estrategia

La Dirección de la organización se compromete a facilitar y proporcionar los recursos necesarios para el establecimiento, implantación, mantenimiento y mejora del Sistema de Gestión de la Seguridad de la Información, así como a demostrar liderazgo y compromiso respecto a este, a través de la constitución del Comité de Seguridad, de sus funciones y responsabilidades. Es misión de esta Dirección:

  • Asegurar altos niveles de cumplimiento legal.
  • Fomentar los planes de formación y concienciación.
  • Mantener unos óptimos niveles reputacionales.
  • Gestionar de forma eficaz y efectiva los incidentes de seguridad.
  • Desarrollar una adecuada política comunicativa y transparente.
  • Con carácter general, preservar la confidencialidad, integridad y disponibilidad de la información y los servicios prestados.

Este compromiso se extiende a las partes interesadas descritas en el contexto del SGSI, para satisfacer sus intereses y expectativas en seguridad de la información.

A nivel estratégico, la seguridad de la información contará con el compromiso y apoyo de todos los niveles directivos de la organización, de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas y sus requisitos de ejecución, para conformar un marco de trabajo completamente coherente y eficaz.

Objetivos de seguridad del SGSI

La organización, ha implementado diversas medidas de seguridad proporcionales a la naturaleza de la información y los servicios a proteger y teniendo en cuenta su análisis de riesgos y su declaración de aplicabilidad.

  • Seguridad como un proceso integrado por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema.
  • Garantizar que los sistemas cumplen los requisitos básicos de seguridad, eliminando las funcionalidades innecesarias e inadecuadas.
  • Acciones de concienciación de las personas que intervienen en el/los procesos.
  • Proporcionar a todos los miembros de la organización el continuado conocimiento sobre las políticas y normativas de seguridad de información por medio de acciones de formación y difusión para la protección y correcta utilización de los sistemas de información.
  • Gestión de personal y profesionalidad.
  • Gestión de la seguridad basada en los riesgos y análisis y gestión de riesgos.
  • Prevención, reacción y recuperación, para protección de activos de información en caso de eventuales incidentes de seguridad.
  • Gestión de riesgos por medio de análisis periódicos, adecuando el SGSI a nuevas realidades anteriormente no previstas.
  • Protección de la información almacenada y en tránsito y continuidad de la actividad.
  • Protección de las instalaciones.
  • Registros de actividad documentados.
  • Mejora continua con revisión periódica de la política de seguridad de información adecuándola a las normativas y reglas legales.

Datos de carácter personal

La organización trata datos de carácter personal. Los procedimientos de protección de datos, al que tendrán acceso sólo las personas autorizadas, recoge los tratamientos afectados y los responsables correspondientes. Todos los sistemas de información de la organización se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en los mencionados procedimientos.

Gestión de riesgos

Todos los sistemas sujetos a esta política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • regularmente, al menos una vez al año.
  • cuando cambie la información manejada.
  • cuando cambien los servicios prestados.
  • cuando ocurra un incidente grave de seguridad.
  • cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Desarrollo de la política de seguridad de la información

Esta Política se desarrollará por medio de la Normativa de Seguridad que afronta aspectos específicos. La Normativa de Seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

Terceras partes

Cuando la organización preste servicios a terceros, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando la organización subcontrate servicios con terceros o ceda información a terceros, en el marco de una prestación de servicios a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

siam

¡Hablemos!

Newsletter