1. DEFINICIONES Y SIGLAS
A los efectos de una correcta interpretación de la presente Política, se incluyen las siguientes definiciones:
- Información: Datos que poseen significado, en cualquier formato o soporte. Se refiere a toda comunicación o representación de conocimiento.
- Sistema de Información: Se refiere a un conjunto de recursos relacionados y organizados para el tratamiento de información, según determinados procedimientos, tanto informáticos como manuales.
2. OBJETO
Esta política tiene por objeto facilitar las directivas o directrices que deben seguirse para proteger la información de la Organización de una amplia gama de amenazas, a fin de:
- Garantizar la seguridad de las operaciones realizadas, mediante los Sistemas de Información.
- Minimizar los riesgos de daño.
- Asegurar el cumplimiento de los objetivos de la Organización.
BCNDATA tiene la voluntad de conseguir que los principios de la Política de Seguridad de la Información formen parte de la cultura de la Organización, para lo cual ha implementado un Sistema de Gestión de la Seguridad de la Información en base a un estándar reconocido internacionalmente.
Todo el personal de BCNDATA, incluyendo colaboradores, proveedores y la dirección, debe conocer y cumplir esta política.
Esta Política se desarrollará mediante normativa, procedimientos, instrucciones operativas, guías, manuales y todos aquellos instrumentos organizativos considerados útiles para alcanzar sus objetivos.
3. ALCANCE
El alcance de la Política de Seguridad de la Información coincide con el alcance del SGSI que se establece en el documento “DOC – DOCUMENTACIÓN CONTEXTO DE LA ORGANIZACIÓN”.
Con este documento se desarrollan los requisitos exigidos por la Norma ISO/IEC 27001:2013 en su apartado: 5.2 “Política”.
4. Objetivos de la Política de Seguridad de la Información
El objetivo principal de la creación de esta Política de Seguridad de la Información, por parte del responsable del SGSI y de la Dirección de BCNDATA, es garantizar a los clientes y usuarios de los servicios el acceso a la información con la calidad y el nivel de servicio que se requieren para el desempeño acordado, así como evitar serias pérdidas o alteración de la información y accesos no autorizados a la misma.
Esta Política de Seguridad será mantenida, actualizada y adecuada a los fines de la organización.
Las dimensiones básicas de la seguridad son los siguientes:
- Confidencialidad: Propiedad por la cual únicamente puede acceder a la información gestionada por BCNDATA quién esté autorizado para ello, previa identificación, en el momento y por los medios habilitados.
- Integridad: propiedad que garantiza la validez, exactitud y completitud de la información gestionada por BCNDATA, siendo su contenido el facilitado por los afectados sin ningún tipo de manipulación y permitiendo que sea modificada únicamente por quién esté autorizado para ello.
- Disponibilidad: propiedad de ser accesible y utilizable en los intervalos acordados. La información gestionada por BCNDATA es accesible y utilizable por los clientes y usuarios autorizados e identificados en todo momento, quedando garantizada su propia persistencia ante cualquier eventualidad prevista.
- Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeta BCNDATA, especialmente en materia de protección de datos personales.
4.1 Gestión del riesgo
La gestión de la Seguridad de la Información en BCNDATA está basada en el riesgo, de conformidad con la Norma internacional ISO/IEC 27001:2013.
Se deberá de revisar periódicamente y de una forma organizada la gestión del riesgo de BCNDATA.
Revisándolo, así como mínimo una vez al año los siguientes puntos:
- Identificar las amenazas, que aprovecharán vulnerabilidades de los Sistemas de Información que soportan, o de los que depende, la seguridad de la información
- Analizar el riesgo, en base a la consecuencia de materializarse la amenaza y de la probabilidad de ocurrencia.
- Evaluar el riesgo, según un nivel previamente establecido y aprobado de riesgo ampliamente aceptable, tolerable e inaceptable.
- Tratar el riesgo inaceptable, mediante los controles o salvaguardas adecuadas.
Dicho proceso es cíclico y debe llevarse a cabo de forma periódica, como mínimo una vez al año.
4.2 Marco para la fijación de objetivos de seguridad de la información
El establecimiento de metas de seguridad de la información se lleva a cabo considerando los siguientes puntos:
- Informes del responsable de Seguridad del Sistema de Gestión de la Seguridad de la Información, aprobados por la Dirección de BCNDATA.
- Oportunidades de mejora encontradas durante la operación del SGSI.
La Dirección, junto con el responsable del SGSI, se responsabilizará de definir los objetivos de seguridad de la información para BCNDATA. Éstos deben ser específicos y consecuentes con su Política de Seguridad de la Información, misión, visión y valores.
4.3 Objetivos del SGSI
El SGSI de BCNDATA debe garantizar:
- Que se desarrollen políticas, normativas, procedimientos y guías operativas para apoyar la política
de seguridad de la información. - Que se identifique la información que deba ser protegida.
- Que se establezca y mantenga la gestión del riesgo alineada con los requerimientos de la política del SGSI y la estrategia de BCNDATA.
- Que se establezca una metodología para la apreciación y tratamiento del riesgo.
- Que se establezcan criterios con los que medir el nivel de cumplimiento del SGSI.
- Que se revise el nivel de cumplimiento del SGSI.
- Que se corrijan las no conformidades mediante la implementación de acciones correctivas.
- Que el personal reciba formación y concienciación sobre la seguridad de la información.
- Que todo el personal sea informado sobre la obligación de cumplimiento de la política de seguridad de la información.
- La asignación de los recursos necesarios para gestionar el SGSI.
- La identificación y cumplimiento de todos los requerimientos legales, regulatorios y contractuales.
- Que se identifiquen y analicen las implicaciones de seguridad de la información respecto a los requerimientos de negocio.
- Que se mida el grado de madurez del propio sistema de gestión de la seguridad de la información.
- Que se realice la mejora continua sobre el SGSI
4.4 Organización y responsabilidades
- La Dirección General de BCNDATA es la responsable de aprobar la presente política.
- El Comité de Gestión de la Seguridad de la Información es responsable de revisar la presente política.
- El responsable de seguridad del SGSI es el responsable de mantener la presente política.
Esta política debe ser revisada regularmente junto al resto de las Políticas Corporativas en base al esquema de revisión acordado, y siempre que se realicen cambios relevantes, con el fin de asegurar que esté alineada con la estrategia de la compañía.
4.5 Validez y actualización
Esta política es efectiva desde el momento de su publicación y se revisa como mínimo una vez al año.
El objetivo de realizar las revisiones periódicas sobre esta política es adecuarla a los cambios en la organización, tanto en las cuestiones externas e internas, analizándose las incidencias sucedidas de seguridad de la información y las No Conformidades encontradas en el SGSI. Todo ello armonizado con los resultados de los diferentes procesos de apreciación del riesgo.
Al revisar la Política también se revisarán todas las Normas y demás documentos que la desarrollan, siguiendo un proceso de actualización periódica sujeto a los cambios relevantes que pudieran acontecer: crecimiento de la empresa y cambios organizacionales, cambios en la infraestructura, desarrollo de nuevos servicios, entre otros.
Como consecuencia se elaborará una lista de objetivos y acciones a emprender y ejecutar durante el año siguiente para garantizar la Seguridad de la Información y el buen uso de los recursos que la soportan y tratan en BCNDATA.
Barcelona, 24 de febrero de 2023