La presente política proporciona las bases para definir y delimitar los objetivos y responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran para garantizar el cumplimiento en seguridad de la información, cumpliendo el marco legal de aplicación, las directivas, políticas específicas y procedimientos definidos.
Estas actuaciones son seleccionadas e implantadas en base a un análisis de riesgos realizado y el equilibrio entre riesgo aceptable y coste de las medidas.
SIRT ha definido los requisitos de seguridad, identificando y priorizando la importancia de los distintos elementos de la actividad realizada, de modo que los procesos más importantes y/o sensibles recibirán mayor protección.
Es un compromiso de la Dirección y de todas las personas trabajadoras de SIRT, promover y apoyar la implantación de las medidas técnicas y organizativas necesarias para minimizar los riesgos potenciales a los que se encuentra expuesta la información, en la consecución de los objetivos estratégicos del negocio.
El objeto de esta Política es alcanzar un nivel de cumplimiento, compromiso y protección adecuada. En materia específica de seguridad de la información de la Compañía y respeto a la privacidad de los usuarios, esta política se desarrolla preservando los siguientes principios de la seguridad:
- Confidencialidad
- Integridad de la información
- Disponibilidad
- Autenticidad
- Trazabilidad
Estos principios básicos se deben preservar y asegurar en cualquiera de las formas que adopte la información, ya sea en formato electrónico, impreso, visual o hablado, e independientemente de que sea tratada en las dependencias de la Compañía o fuera de ellas.
Asimismo, estos principios se deberán contemplar en las siguientes áreas de seguridad:
- Física: Comprendiendo la seguridad de las dependencias, instalaciones, sistemas hardware, soportes y cualquier activo de naturaleza física que trate o pueda tratar
información. - Lógica: Incluyendo los aspectos de protección de aplicaciones, redes y prototipos de comunicación electrónica y sistemas informáticos.
- Político-corporativa: Formada por los aspectos de seguridad relativos a la propia Compañía, a las normas internas, regulaciones y normativa legal aplicable
La Política de Seguridad de la información ha sido desarrollada para asegurar la confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad de la tecnología y los activos de información de la Compañía y se alinea con los estándares internacionales en materia de seguridad de la información. Asimismo, esta Política hace referencia a la Normativa General de Seguridad de la Información y son de aplicación los controles del Esquema Nacional de Seguridad en categoría alta.
En materia de protección de datos y privacidad se ha desarrollado siguiendo las directrices y guías de la Autoridad de control (Agencia Española de Protección de Datos) y las recomendaciones del Comité Europeo de protección de datos, incluyendo las guidelines del Grupo de trabajo del Artículo 29.
La Dirección General de la Compañía manifiesta su compromiso formal con el apoyo a los planes de seguridad que se deriven de la aplicación de esta Política integrada.
Dicho apoyo se concretará en:
- proporcionar los recursos humanos y económicos necesarios, dentro de las posibilidades presupuestarias;
- asignar roles y responsabilidades a las personas asociadas a los planes de seguridad;
- apoyar la formación de los recursos humanos implicados en el sistema de gestión integrado para que adquieran el nivel de concienciación y las competencias necesarias;
- velar por el correcto funcionamiento del Sistema de Gestión.
- facilitar las comunicaciones con otras organizaciones en materia de seguridad de la información, así como el contacto directo con las autoridades en la materia.
- Promover el desarrollo de esta política
Para que conste y surta los efectos oportunos publicamos esta política.