Política de Seguridad de la Información

Espiral MS considera que la información es uno más de los activos relevantes para ofrecer productos y servicios a nuestros clientes y, por tanto, requiere de una protección adecuada. Por tanto, Espiral MS incluye la Gestión de la Seguridad de la Información dentro de su Sistema de Gestión como mecanismo para establecer directrices claras y medidas de seguridad para:

· garantizar la confidencialidad1, integridad2 y disponibilidad3 de la información,

· garantizar el cumplimiento de los requisitos de seguridad establecidos por la propia organización y los acordados con sus clientes,

· garantizar el cumplimiento de la legislación, regulaciones y estándares aplicables,

· garantizar la continuidad de la organización y su operativa de negocio.

La infraestructura que soporta los servicios, así como la información y las aplicaciones que gestionan los servicios prestados por Espiral MS se encuentran dentro del alcance del Sistema de Gestión de la Seguridad de la Información, que está integrado en el Sistema de Gestión, por lo que le son de aplicación las políticas, objetivos y procedimientos allí establecidos.

La aplicación utilizada para la gestión de los activos y el análisis de riesgos permite evaluar el riesgo por servicio. Para ello, se han definido los servicios incluidos en el Sistema de Gestión y se ha identificado qué activos de información intervienen en cada uno de ellos.

El personal de soporte interno de Espiral MS es el responsable de establecer y mantener las medidas de seguridad necesarias para la correcta provisión de los servicios. Cualquier incidencia de seguridad en los sistemas que soportan el servicio, deberá ser informada y registrada.

Objetivo

El objetivo de esta Política de Seguridad de la Información es establecer directrices claras y medidas de seguridad para proteger la información confidencial de la organización, garantizar la disponibilidad y confiabilidad de los sistemas de información, y cumplir con las regulaciones y estándares de seguridad aplicables.

La Política de Seguridad es de obligado cumplimiento para todo el personal. Es además de aplicación en todo el ámbito establecido en el Marco indicado a continuación.

Compromisos

El Comité de Seguridad impulsará la implementación de todos los controles organizativos, procedimentales, físicos y lógicos que sean necesarios para proteger adecuadamente los activos de información de Espiral MS, mediante lo indicado en esta política u otros elementos del cuerpo normativo (políticas derivadas, procedimientos, líneas base, instrucciones técnicas, etc.), y canalizándolos hacia las diferentes áreas y procesos de negocio.

En Espiral MS la importancia de la Seguridad de la Información se manifiesta de manera más concreta en:

· Compromiso con la confidencialidad: La compañía se compromete a proteger la confidencialidad de la información, garantizando que solo las personas autorizadas tengan acceso a ella. El acceso a los sistemas y datos debe ser restringido y otorgado solo a los usuarios autorizados en función de su función y necesidad de conocimiento. Y se deben implementar controles de autenticación oportunos.

· Compromiso con la integridad de la información: La compañía se compromete a garantizar la integridad de la información, evitando cualquier modificación o alteración no autorizada.

· Compromiso con la disponibilidad de la información: La compañía se compromete a garantizar la disponibilidad continua de la información para los usuarios autorizados. Esto implica la implementación de medidas de protección contra interrupciones y fallos, aplicando los planes de continuidad de negocio oportunos.

· Compromiso con la adecuada respuesta ante incidentes de seguridad: la compañía ha establecido un proceso de gestión de incidentes que incluye la notificación, investigación, respuesta y recuperación de incidentes de seguridad. La organización procurará implementar todas aquellas mejoras que puedan ayudar a prevenir futuros incidentes similares.

· Compromiso con la gestión de riesgos: La compañía se compromete a identificar, evaluar y gestionar los riesgos de seguridad de la información.

· Compromiso con la protección de la privacidad: La compañía se compromete a proteger la privacidad de la información personal de los individuos, cumpliendo con las leyes y regulaciones de protección de datos aplicables y obteniendo el consentimiento adecuado cuando sea necesario.

· Compromiso con la educación y concienciación: La compañía se compromete a concienciar y formar en seguridad de la información a todos los empleados, así como la promoción de buenas prácticas en el uso de los recursos tecnológicos.

· Compromiso con la supervisión y cumplimiento: La compañía se compromete a realizar auditorías internas y externas periódicas para garantizar el cumplimiento de las políticas y estándares de seguridad. Además, se compromete a tomar medidas oportunas cuando se identifiquen violaciones de seguridad.

· Compromiso con la mejora continua: La compañía se compromete a revisar y mejorar de forma continua los controles de seguridad de la información, considerando los avances tecnológicos, las nuevas amenazas y las lecciones aprendidas de incidentes anteriores.

· Compromiso con la colaboración externa: La compañía se compromete a colaborar con organismos y entidades externas, como agencias gubernamentales y organizaciones de intercambio de información sobre amenazas, para compartir información relevante y colaborar en la lucha contra el cibercrimen.

Si quieres conocer entera nuestra Política de Seguridad, haz click aquí