Política de seguridad de la información

OBJETO/ALCANCE

TRACKGAS 21 comprende la importancia de la seguridad de la información, entendida como un enfoque sistemático para proteger los datos, ya sea de carácter personal o no, y garantizar la confidencialidad, integridad y disponibilidad de la información que maneja TRACKGAS 21. Esto implica identificar riesgos, establecer controles y mantener un sistema de gestión enfocado en la prevención de amenazas y en la garantía de la continuidad del negocio. Por ello, teniendo como prioridad la protección de la información, establece un sistema de seguridad orientado a este ámbito.

Esta Política de Seguridad de la Información se elabora por tanto como punto de partida del sistema de gestión de seguridad de la información implantado en TRACKGAS 21, por lo que se aplica a todos los documentos y activos definidos en su alcance. En cualquier caso, debe ser conocida y cumplida por todo el personal de la organización. 

NORMAS DE REFERENCIA
UNE-ISO/IEC 27000 – Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Visión de conjunto y vocabulario.
ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos.
ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información
OTROS DOCUMENTOS DE REFERENCIA
N/A.
RESPONSABILIDADES

Dirección:

Aprobar la presente política.
Asegurar que la presente política y el resto de documentación del SGSI que deban conocer está a disposición del personal.
Garantizar, en última instancia, que el personal recibe directrices suficientes en materia de seguridad de la información para cumplir con sus funciones.
Asegurar los recursos necesarios para el cumplimiento de la presente política.
Promover el cumplimiento de la presente política.
Realizar la revisión del sistema.

Es responsabilidad del Responsable del SGSI:

Elaborar y mantener actualizada la presente política, así como el resto de los documentos que componen el SGSI
Establecer, o asegurarse de que se establecen, las medidas técnicas de seguridad.
Realizar el análisis y gestión de riesgos, aplicado a los sistemas de tratamiento de la información.

Todo el personal:

Aceptar y cumplir la presente política. 
OBJETIVOS DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Los objetivos generales de la Política de Seguridad de la Información son:

Asegurar el acceso, integridad, confidencialidad, disponibilidad, autenticidad y trazabilidad de la información, y la prestación continuada de nuestros servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con rapidez a los incidentes.
Disponer de las medidas de control necesarias para el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, especialmente en lo relativo a la protección de datos de carácter personal.
Proteger los recursos de información y a la tecnología utilizada para su procesamiento, frente a amenazas internas o externas, deliberadas o accidentales, derivadas de los activos o del contexto, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información, y garantizar de forma adecuada la continuidad del negocio, incluso en situaciones adversas.
Asegurar que se toman las acciones pertinentes para la clasificación y catastro de activos de información, así como para el análisis de riesgos de acuerdo con la normativa vigente en la institución.
Garantizar que se toman acciones para asegurar e incrementar la capacitación del personal.
Describir la estructura para el marco de políticas, estándares y procedimientos en materia de seguridad de la información a ser desarrollados en la institución.
Fomentar la mejora continua del sistema de gestión de seguridad de la información.
Identificar de manera genérica los roles y responsabilidades que surgen en relación con la seguridad de la información en la organización.
Reflejar el compromiso de la Dirección con la seguridad de la información y la mejora constante del sistema, mediante la firma de la presente.
Todas las exenciones y excepciones al cumplimiento de esta política o a cualquiera de los documentos que integran el SGSI deberán estar suficientemente motivadas y aprobadas de forma previa y expresa por el Responsable del SGSI y/o Dirección, siendo preceptivo que se estime la imprescindibilidad de dicho proceso, acción o elemento, y la inexistencia de alternativas viables a éste.
  SEGURIDAD EN LA NUBE

La Política de seguridad de la información incluye la seguridad de la computación en la nube, buscando por tanto proteger la confidencialidad, disponibilidad e integridad de los datos almacenados y procesados en la nube, minimizando los riesgos propios del entorno cloud y utilizando medidas de seguridad suficientes en su uso. Se desarrolla en consonancia con los niveles aceptables de riesgos de seguridad de la información y tiene en cuenta la complejidad inherente al uso de servicios en la nube, persiguiendo así los siguientes objetivos:

Asegurar que el acceso a la información está claramente definido y restringido, previéndose que ni siquiera el proveedor del servicio pueda acceder a ésta sin la debida autorización expresa y escrita. En este sentido, la política busca garantizar la privacidad y seguridad de los datos.
Garantizar una gestión y mantenimientos adecuados de los activos en la nube, con un inventario actualizado que permita la gestión y seguimiento de éstos.
Disponer de políticas claras para los usuarios del servicio en la nube, considerando el contexto en el que utilizan los servicios.
Promover la concienciación sobre buenas prácticas de seguridad en la nube y garantizar la formación continua frente a posibles variaciones.
Disponer de políticas de acceso estrictas para los administradores del servicio cloud con accesos privilegiados y garantizar la revisión de sus actividades.
Reconoce la importancia de implementar medidas de seguridad sólidas para garantizar la segregación efectiva de datos y procesos.
Seleccionar la región del proveedor de servicios en la nube que mejor se adapte a las necesidades operativas de TRACKGAS 21 y cumpla con los requisitos de privacidad y seguridad.
Garantizar el cumplimiento normativo.
Se llevan a cabo evaluaciones periódicas de la seguridad de la información en la nube para adaptarse a los cambios en la tecnología, riesgos y requisitos comerciales.
ENFOQUE EN LA GESTIÓN DE RIESGOS

El sistema de gestión de seguridad de la información está enfocado en una correcta gestión del riesgo que permita tomar decisiones informadas del entorno, para proteger así los activos de TRACKGAS 21 y minimizar posibles daños, sean de la índole que sean. Por tanto, el análisis y gestión de riesgos de acuerdo con una metodología objetiva que garantice su fiabilidad, y la obtención de unos resultados medibles, comparables y reproducibles será parte esencial del proceso de seguridad, ya que dará lugar a las acciones que se tomen para minimizar los riesgos no aceptables y proteger los activos de la organización.

Nótese que la gestión del riesgo es un proceso continuo, por lo que TRACKGAS 21 evaluará periódicamente los riesgos, y revisará regularmente la efectividad de las medidas de mitigación.

INSTRUMENTOS DE DESARROLLO

La Política de Seguridad de la Información se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. Se usarán los siguientes instrumentos:

Políticas de seguridad específicas: Uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de los usuarios. Son de carácter obligatorio.
Guías de seguridad: Tienen un carácter informativo y buscan ayudar a los usuarios a aplicar correctamente las medidas de seguridad proporcionando razonamientos en los casos en los que no existan procedimientos precisos. Ayudan a prevenir que se pasen por alto aspectos importantes de seguridad que pueden materializarse de varias formas.
Procedimientos de seguridad: Afrontan tareas concretas, indicando lo que hay que hacer, paso a paso, de los diferentes procesos.

Todos ellos se comunicarán a través de medios corporativos a todos aquellos interesados que, por las especificades de sus funciones, necesiten conocerlos.

REVISIÓN

Esta política será revisada al menos una vez al año y siempre que haya cambios relevantes en la organización, con el fin de asegurar que ésta se adecúa a la estrategia y necesidades de la propia organización.