Política de Seguridad de la Información
La información constituye un activo esencial para Ciber TRS, por lo que consideramos la seguridad de la información un elemento crítico y fundamental. Este desafío se intensifica en relevancia y demanda cuando lo aplicamos a un entorno tan especializado y crucial como el nuestro, donde el manejo y la gestión segura de la información son indispensables para competir y avanzar en el futuro.
Además, la legislación vigente es precisa en lo que respecta a la seguridad de la información, proporcionando un marco legal específico que exige un cumplimiento riguroso por parte de todos, pero que también facilita la adopción de las medidas de seguridad adecuadas en los sistemas de información.
El objetivo del presente documento es definir de forma clara las reglas para el uso de los sistemas y de otros activos de información en CIBERTRS.
La política de seguridad se establecerá, de acuerdo con los principios básicos señalados en el capítulo II del ENS y se desarrollará aplicando los siguientes requisitos mínimos:
- Organización e implantación del proceso de seguridad.
- Análisis y gestión de los riesgos.
- Gestión de personal.
- Profesionalidad.
- Autorización y control de los accesos.
- Protección de las instalaciones.
- Adquisición de productos de seguridad y contratación de servicios de seguridad.
- Mínimo privilegio.
- Integridad y actualización del sistema.
- Protección de la información almacenada y en tránsito.
- Prevención ante otros sistemas de información interconectados.
- Registro de la actividad y detección de código dañino.
- Incidentes de seguridad.
- Continuidad de la actividad.
Ayudar en el proceso de identificar vulnerabilidades en los sistemas y redes y mitigarlas.
Nos encargamos del tratamiento de los datos de nuestros clientes facilitando su:
- Disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran;
- Integridad, asegurando que la información y sus métodos de proceso son exactos y completos;
- Confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información;
- Trazabilidad, posibilitando el seguimiento de los accesos indebidos a la información;
- Autenticidad, garantizando que los usuarios que tienen acceso son quien dicen ser;
- ISO/IEC 27001.
- Esquema Nacional de Seguridad
- guía CCN-STIC-801
Este documento se aplica a todo el alcance del Sistema de Gestión de Seguridad de la Información (SGSI); es decir, a todas las personas, los sistemas y demás activos de la información utilizados dentro del alcance del SGSI.
Incluye todos los sistemas de información de la organización, abarcando equipos personales, servidores, redes, aplicaciones, sistemas operativos y procesos empresariales que son propiedad o están gestionados por Ciber TRS. Esta política aborda los aspectos más directamente relacionados con la responsabilidad y el uso adecuado del personal respecto a estos sistemas.
La dirección de Ciber TRS se ha encargado de asignar roles y responsabilidades, así como de establecer los comités pertinentes para garantizar el cumplimiento de esta política. Esta documentación estará disponible para todas las partes interesadas y el personal interno de la organización.
En el documento interno sobre Roles y Responsabilidades de la organización, se detallan todos los roles y responsabilidades dentro de CiberTRS así como sus funciones.
Ciber TRS dispone de un sistema de clasificación de la información basado en su nivel de criticidad.
Ciber TRS tiene marcado un plan de actuación anual de análisis y revisión de riesgos de los activos sujetos al alcance de esta política.
Ciber TRS ha implementado en su organización una normativa de seguridad la cual establece la estrategia y el enfoque para la gestión de la seguridad de la información en cualquier tipo de organización. Incluye políticas, procedimientos y guías de seguridad, que definen la manera en que se deben abordar los aspectos de seguridad de la información en la organización.
La normativa se encuentra disponible para los miembros de la organización.
Todos los miembros y usuarios del SGSI de CiberTRS están obligados a conocer y cumplir la política y la normativa de seguridad implementada.
Para garantizar el cumplimiento del deber se realizan sesiones de formación continua y de concienciación.
Los usuarios de este documento que aplica a todo el alcance del Sistema de Gestión de Seguridad de la Información (SGSI) son también los contratistas y proveedores de CiberTRS.
Esta Política de Seguridad de la información es efectiva desde la fecha de aprobación y hasta que sea reemplazada o actualizada por una nueva.
Aprobada el 21/05/2024