Política del Sistema de Gestión Integrado

1. Introducción 

La Política de Seguridad de la Información y Continuidad de Negocio (en adelante, Política) persigue la adopción de un conjunto de medidas destinadas a preservar la confidencialidad, integridad y disponibilidad de la información, que constituyen los tres componentes básicos de la seguridad de la información, y tiene como objetivo establecer los requisitos para proteger la información, los equipos y servicios tecnológicos y además garantizar la continuidad del negocio en caso de desastre, lo cual sirve de soporte para la mayoría de los procesos de negocio de ALESTIS CONSULTING S.L. (en adelante, GEOACTIO, la marca comercial bajo la que opera). En la actualidad, las tecnologías de la información se enfrentan a un creciente número de amenazas, lo cual requiere de un esfuerzo constante por adaptarse y gestionar los riesgos introducidos por estas.

1.1 Objetivo 

El objetivo principal de la presente Política de alto nivel es definir los principios y las reglas básicas para la gestión de la seguridad de la información y continuidad del negocio. El fin último es lograr que GEOACTIO garantice la seguridad de la información y minimice los riesgos de naturaleza no financiera derivados de un impacto provocado por una gestión ineficaz de la misma. Además, contrarrestar las interrupciones de las actividades empresariales y proteger los procesos críticos de negocio de los efectos derivados de fallos importantes o catastróficos de los sistemas de información de GEOACTIO, así como garantizar su oportuna reanudación

1.2 Alcance

El alcance de la presente Política abarca toda la información de GEOACTIO con independencia de la forma en la que se procese, quién acceda a ella, el medio que la contenga o el lugar en el que se encuentre, ya se trate de información impresa o almacenada electrónicamente. La Política deberá estar disponible en la página web corporativa y es accesible por todos los integrantes de GEOACTIO. En cuanto a la continuidad de negocio el alcance de esta Política está limitado a cortes de servicio prolongados en el tiempo. Por tanto, este plan no es de aplicación en el trabajo diario normal de la organización y excluye actividades tales como:

  • Ataques con armas químicas o nucleares.
  • Ataques de terrorismo
  • Guerra
  • Cualquier otro tipo de acto o incidencia que requiera acción militar o de las autoridades competentes.

 

2. Principios de la Política de la Información y Continuidad de Negocio

La presente Política responde a las recomendaciones de las mejores prácticas de Seguridad de la Información recogidas en el Estándar Internacional ISO  27001 e ISO 22301 así como al cumplimiento de la legislación vigente en materia de protección de datos personales y de las normativas que, en el ámbito de la Seguridad de la Información, puedan afectar a GEOACTIO.

Además, GEOACTIO establece los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de información:

  • Alcance estratégico: La seguridad de la información deberá contar con el compromiso y apoyo de todos los niveles directivos de GEOACTIO de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas para conformar un marco de trabajo completamente coherente y eficaz.
  • Seguridad integral: La seguridad de la información se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información.
  • Gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad de la información. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que están expuestos y la eficacia y el coste de las medidas de seguridad.
  • Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
  • Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado.
  • Seguridad por defecto: Los sistemas deberán diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

GEOACTIO considera que las funciones de Seguridad de la Información deberán quedar integradas en todos los niveles jerárquicos de su personal.

Puesto que la Seguridad de la Información incumbe a todo el personal de GEOACTIO, esta Política deberá ser conocida, comprendida y asumida por todos sus empleados.

Para la consecución de los objetivos de esta Política, GEOACTIO deberá establecer una estrategia preventiva de análisis sobre los riesgos que pudieran afectarle, identificándolos, implantando controles para su mitigación y estableciendo procedimientos regulares para su reevaluación. En el transcurso de este ciclo de mejora continua, GEOACTIO mantendrá la definición tanto del nivel de riesgo residual aceptado (apetito al riesgo) como de sus umbrales de tolerancia.


3. Compromiso de la Dirección 

La Dirección de GEOACTIO, consciente de la importancia de la seguridad de la información y de la continuidad del negocio para llevar a cabo con éxito sus objetivos de negocio, se compromete a:

  • Promover en la organización las funciones y responsabilidades en el ámbito de seguridad de la información.
  • Facilitar los recursos adecuados para alcanzar los objetivos de seguridad de la información y continuidad del negocio.
  • Impulsar la divulgación y la concienciación de la Política de Seguridad de la Información entre los empleados de GEOACTIO.
  • Exigir el cumplimiento de la Política, de la legislación vigente y de los requisitos de los reguladores en el ámbito de la seguridad de la información.
  • Considerar los riesgos de seguridad de la información en la toma de decisiones.
  • Documentar los procesos de trabajo que se llevan a cabo en la empresa para determinar el nivel de criticidad de estos y poder anticipar las estrategias y las medidas organizativas y técnicas de la compañía en caso de desastre.
  • Garantizar la continuidad del negocio.
  • Garantizar una adecuada protección de la confidencialidad, integridad y disponibilidad de la información.
  • Promover el compromiso de mejora continua de la organización.