Política de Seguridad de la Información

 

Objeto

 

El objetivo principal de la Seguridad de la Información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

 

La presente Política se desarrolla con la finalidad de establecer un marco de actuación único que permita alinear cada uno de los ámbitos de negocio y el compromiso de la Dirección de proveer los recursos necesarios para la implementación y su mejora continua.

 

La seguridad de los activos de información constituye un compromiso que afecta a todo el personal de SIA. Consecuentemente, dicho personal, pertenezca a la Organización o corresponda a terceros subcontratados, es copartícipe de dicha responsabilidad, debiendo trabajar, desde la posición que ocupe e independientemente de la responsabilidad que explícitamente se le asigne, por la consecución de una adecuada Seguridad de la Información.

 

Esta Política será comunicada, difundida y seguida por todo el personal de la Organización y demás partes interesadas (clientes, contratistas y proveedores) siendo de obligado cumplimiento dentro de su ámbito de responsabilidad.

 

Su incumplimiento podrá acarrear el inicio de las medidas disciplinarias oportunas y, en su caso, las responsabilidades legales correspondientes.

 

 

Misión

 

SIA tiene como misión ofrecer soluciones de ciberseguridad a sus Clientes y colaborar en su evolución. Su Dirección ha desarrollado e implementado un conjunto de objetivos y directrices, sometidos a un proceso de mejora continua, de acuerdo con la legislación, el Esquema Nacional de Seguridad, la Protección de los Datos de Carácter Personal, y la normativa eIDAS aplicable a las entidades que proveen servicios de confianza en el ámbito de firma digital (Trust Service Provider), como es el caso de SIACERT.

 

La Política de Seguridad de la Información constituye una declaración pública de intenciones de alto nivel por parte de la Dirección de SIA, que, en virtud de la misma, plasma su compromiso de adoptar todas aquellas medidas organizativas, técnicas, físicas y legales destinadas a la protección de la información y de los sistemas dentro de su alcance. Se hace de tal forma que se logre el cumplimento de las leyes, reglamentos y normativas en vigor que sean de aplicación, y se garantice en todo momento la seguridad de la información en relación a su integridad, confidencialidad, disponibilidad, trazabilidad y autenticación.

 

 

Legislación Aplicable

 

Serán base del cumplimiento normativo para la generación de la presente política de seguridad, la siguiente legislación y normativa aplicable:

 

• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
• Real Decreto-ley 2/2018, de 13 de abril, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual.
• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
• La norma ISO 27001 Sistema de Gestión de Seguridad Informática.
• Principios de la Seguridad de la Información.

 

Por tanto, la Dirección de SIA asume como compromisos estratégicos los siguientes principios:

 

• Implementar un sistema de gestión documentado y medible, garantizando la mejora continua de los procesos, procedimientos, productos y servicios, con el fin de prestar servicios que satisfagan los requisitos de los clientes.
• Asignar funciones y responsabilidades, en base a los procedimientos correspondientes para su designación, reforzando la premisa de mínimos privilegios.
• Desarrollar la gestión del personal y programas de formación y concienciación sobre el personal que garanticen el nivel de capacitación, competencia e implicaciones adecuadas a sus funciones.
• Cumplir con la legislación vigente aplicable. En especial, aquella que se desprenda de la prestación de servicios al ciudadano por las Administraciones Públicas.
• Analizar y gestionar los riesgos a los que está expuesta la Organización mediante metodologías reconocidas internacionalmente.
• Establecer niveles adecuados de integridad, confidencialidad, disponibilidad, trazabilidad y autenticación de los sistemas de información propios, de los proveedores y de los clientes.
• Prevenir los incidentes y planificar una reacción eficaz junto con un análisis posterior en el caso de que ocurran. Igualmente, velar por la continuidad de las operaciones críticas de la Organización en caso de producirse dichos incidentes.
• Orientar la actividad de la Organización y sus proveedores hacia el Cliente cumpliendo con los requisitos, explícitos e implícitos, de los términos y condiciones acordados.
• Alcanzar los niveles adecuados de los servicios TI que ofrece la Organización a sus clientes, y exigir lo mismo a sus proveedores, de forma que certifiquen y garanticen la calidad, satisfacción y cooperación mutua.
• Contribuir a la prevención de la contaminación y establecer una adecuada gestión de los residuos ambientales ya sean generados internamente o a través de nuestros suministradores.
• Garantizar la continuidad de la operativa ante el suceso de incidentes disruptivos.
• Prestar servicios de firma digital conforme a los estándares ETSI y normativas legales aplicables para los TSPs.

 

La Política estará vigente desde la fecha de su aprobación y será revisada anualmente independientemente de que existan cambios significativos, manteniéndose invariable si no aplicaran cambios.