POLÍTICA DE SEGURDIAD
DE LA INFORMACIÓN
Para poder lograr estos objetivos es necesario:
La gestión de nuestro sistema se encomienda al responsable de Sistemas Informáticos y el sistema estará disponible en nuestro sistema de información en un repositorio, al cual se puede acceder según los perfiles de acceso concedidos según nuestro procedimiento en vigor de gestión de los accesos.
1.1. ORGANIZACIÓN DE SEGURIDAD
La responsabilidad esencial recae sobre la Dirección General de la organización, ya que esta es responsable de organizar las funciones y responsabilidades y de facilitar los recursos adecuados para conseguir los objetivos del ENS e ISO27001. Los directivos son también responsables de dar buen ejemplo siguiendo las normas de seguridad establecidas.
Estos principios son asumidos por la Dirección, quien dispone los medios necesarios y dota a sus empleados de los recursos suficientes para su cumplimiento, plasmándolos y poniéndolos en público conocimiento a través de la presente Política Integrada de Sistemas de Gestión. Los roles o funciones de seguridad definidos son:
Esta definición se completa en los perfiles de puesto y en los documentos del sistema.
El procedimiento para su designación y renovación será la ratificación en el comité de seguridad
El comité para la gestión y coordinación de la seguridad es el órgano con mayor responsabilidad dentro del sistema de gestión de seguridad de la información, de forma que todas las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité. Los miembros del comité de seguridad de la información son:
- Responsables del Sistema de Gestión de Seguridad de la Información
- Dirección Empresa (socios-administradores)
Funciones y responsabilidades del comité de seguridad.
Las funciones y responsabilidades del comité de seguridad se definen en el “Acta de constitucion del comité de seguridad”
Periodo de renovación del comité de seguridad.
Los miembros del comité de seguridad serán ratificados o sustituidos de forma anual, en la reunión del propio comité.
Estos miembros son designados por el comité, único órgano que puede nombrarlos, renovarlos y cesarlos.
El comité de seguridad es un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones y que no tiene que subordinar su actividad a ningún otro elemento de nuestra empresa.
La organización de la Seguridad de la información se desarrolla en el documento complementario a esta política:
Política de Seguridad de las Operaciones.docx
Está política se complementa con el resto de las políticas, procedimientos y documentos en vigor para desarrollar nuestro sistema de gestión.
1.2. GESTIÓN DE RIESGOS
odos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisa regularmente:
Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
Para la realización del análisis de riesgos se tendrán en cuenta la metodología de análisis de riesgos desarrollada en el procedimiento: Análisis de Riesgos.xlsx
1.3. GESTION DEL PERSONAL
Todos los miembros de UNIVERSAL TICKETS tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de UNIVERSAL TICKETS atenderán a una sesión de concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de la UNIVERSAL TICKETS, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
1.4. PROFESIONALIDAD Y SEGURIDAD DE LOS RECURSOS HUMANOS
Los objetivos de controlar la seguridad del personal son:
PROFESIONALIDAD
Esta Política se aplica a todo el personal de UNIVERSAL TICKETS y el personal externo que realiza tareas dentro de la empresa.
RRHH incluirá funciones de seguridad de la información en las descripciones de los trabajos de los empleados, informará a todo el personal que contrate sus obligaciones con respecto al cumplimiento de la Política de Seguridad de la Información, gestionará los Compromisos de Confidencialidad con el personal y coordinará las tareas de capacitación de los usuarios con respecto a esta Política.
El Responsable del Sistema de Gestión de Seguridad de la Información (RSGSI) [CISO], es responsable de monitorear, documentar y analizar los incidentes de seguridad reportados, así como de comunicarlos al Comité de Seguridad de la Información y a los propietarios de información.
El Comité de Seguridad de la Información será responsable de implementar los medios y canales necesarios para que el Responsable del Sistema de Gestión de Seguridad de la Información (RSGSI) [CISO] maneje informes de incidentes y anomalías del sistema. El Comité también estará al tanto, supervisará la investigación, supervisará la evolución de la información y promoverá la resolución de incidentes de seguridad de la información.
El Responsable del Sistema de Gestión de Seguridad de la Información (RSGSI) [CISO] participará en la preparación del Compromiso de Confidencialidad que firmará los empleados y terceros que desempeñen funciones en UNIVERSAL TICKETS, en el asesoramiento sobre las sanciones que se aplicarán por incumplimiento de esta Política y en el tratamiento de incidentes de seguridad de la información.
Todo el personal de UNIVERSAL TICKETS es responsable de informar sobre las debilidades e incidentes de seguridad de la información que se detectan oportunamente.
1.5. AUTORIZACIÓN Y CONTROL DE ACCESO A LOS SISTEMAS DE INFORMACIÓN
El control del acceso a los sistemas de información tiene por objetivo:
1.6. PROTECCIÓN DE LAS INSTALACIONES
Los objetivos de esta política son:
Esta Política se aplica a todos los recursos físicos relacionados con los sistemas de información de UNIVERSAL TICKETS: instalaciones, equipos, cableado, expedientes, medios de almacenamiento, etc.
El Responsable del Sistema de Gestión de Seguridad de la Información (RSGSI) [CISO], junto con los Titulares de la Información, según proceda, definirá las medidas de seguridad física y ambiental para la protección de los activos críticos, sobre la base de un análisis de riesgos, y supervisará su aplicación. También verificará el cumplimiento de las disposiciones de seguridad física y medioambiental.
Los responsables de los diferentes departamentos definirán los niveles de acceso físico del personal de UNIVERSAL TICKETS a las áreas restringidas bajo su responsabilidad. Los Propietarios de Información autorizará formalmente el trabajo fuera del sitio con información sobre su negocio a los empleados de UNIVERSAL TICKETS cuando lo consideren apropiado.
Todo el personal de UNIVERSAL TICKETS es responsable del cumplimiento de la política de pantalla limpia y escritorio, para la protección de la información relacionada con el trabajo diario en las oficinas.
1.7. ADQUISICIÓN DE PRODUCTOS
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Por otro lado, se tendrá en cuenta en la seguridad de la información en la adquisición y mantenimiento de los sistemas de información, limitando y gestionando el cambio.
La política de desarrollo y adquisición de sistemas de información se desarrolla en el documento: Política Adquisición, Desarrollo y Mantenimiento de Sistemas.
1.8. SEGURIDAD POR DEFECTO
UNIVERSAL TICKETS considera estratégico para la entidad que los procesos integren la seguridad de la información como parte de su ciclo de vida. Los sistemas de información y los servicios deben incluir la seguridad por defecto desde su creación hasta su retirada, incluyéndose la seguridad en las decisiones de desarrollo y/o adquisición y en todas las actividades en explotación estableciéndose la seguridad como un proceso integral y transversal.
1.9. INTEGRIDAD Y ACTUALIZACIÓN DEL SISTEMA
UNIVERSAL TICKETS se compromete a garantizar la integridad del sistema mediante un proceso de gestión de cambios que permita el control de la actualización de los elementos físicos o lógicos mediante la autorización previa a su instalación en el sistema. Dicha evaluación será llevada a cabo principalmente por la dirección de sistemas TIC que evaluará el impacto en la seguridad del sistema antes de realizar los cambios y controlará de forma documentada aquellos cambios que se evalúen como importantes o con implicaciones en la seguridad de los sistemas.
Mediante revisiones periódicas de seguridad se evaluará el estado de seguridad de los sistemas, con relación a las especificaciones de los fabricantes, a las vulnerabilidades y aas actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de estos.
1.10. PROTECCIÓN DE LA INFORMACIÓN ALMACENADA Y EN TRÁNSITO
UNIVERSAL TICKETS establece medidas de protección para la Seguridad de la Información almacenada o en tránsito a través de entornos inseguros. Tendrán la consideración de entornos inseguros los equipos portátiles, asistentes personales (tablets), teléfonos móviles, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.
1.11. PREVENCIÓN DE SISTEMAS DE INFORMACIÓN INTERCONECTADOS
UNIVERSAL TICKETS establece medidas de protección para la Seguridad de la Información especialmente para proteger el perímetro, en particular, si se conecta a redes públicas, especialmente si se utilizan en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público.
En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión electrónicas disponibles para el público.
1.12. REGISTROS DE ACTIVIDAD.
UNIVERSAL TICKETS registrará las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. Los objetivos principales de la Gestión de incidentes son los de:
1.13. CONTINUIDAD DE LA ACTIVIDAD
UNIVERSAL TICKETS con el objetivo de garantizar la continuidad de las actividades establece medidas para que los sistemas dispongan de copias de seguridad y establece mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.
1.14. MEJORA CONTINUA DEL PROCESO DE SEGURIDAD
UNIVERSAL TICKETS establece un proceso de mejora continua de la seguridad de la información aplicando los criterios y metodología establecida en normas internacionales como ISO 27001.
1.15. INFORMACION DOCUMENTADA y CALIFICACION DE LA INFORMACION
Las directrices específicas de gestión de la documentación, incluyendo la estructuración de la documentación de seguridad del sistema, su gestión y acceso se establecen en PR-02- Creación y control de la documentación.docx.
La política de calificación de la información se define en: Clasificación de la información.doc