1. Introducció
La Política de Seguretat de la Informació (d'ara endavant, Política) persegueix l'adopció d'un conjunt de mesures destinades a preservar la confidencialitat, integritat i disponibilitat de la informació, que constitueixen els tres components bàsics de la seguretat de la informació, i té com a objectiu establir els requisits per a protegir la informació, els equips i serveis tecnològics i a més garantir la continuïtat del negoci en cas de desastre, la qual cosa serveix de suport per a la majoria dels processos de negoci d'ELHUYAR. En l'actualitat, les tecnologies de la informació s'enfronten a un creixent nombre d'amenaces, la qual cosa requereix d'un esforç constant per adaptar-se i gestionar els riscos introduïts per aquestes.
1.1. Objectiu
L'objectiu principal de la present Política d'alt nivell és definir els principis i les regles bàsiques per a la gestió de la seguretat de la informació i continuïtat del negoci. La fi última és aconseguir que ELHUYAR garanteixi la seguretat de la informació i minimitzi els riscos de naturalesa no financera derivats d'un impacte provocat per una gestió ineficaç d'aquesta. A més, contrarestar les interrupcions de les activitats empresarials i protegir els processos crítics de negoci dels efectes derivats de fallades importants o catastròfiques dels sistemes d'informació d'ELHUYAR, així com garantir la seva oportuna represa.
1.2. Abast
L'abast de la present Política abasta tota la informació d'ELHUYAR amb independència de la forma en la qual es processi, qui accedeixi a ella, el mitjà que la contingui o el lloc en el qual es trobi, ja es tracti d'informació impresa o emmagatzemada electrònicament. La Política haurà d'estar disponible en la pàgina web corporativa i és accessible per tots els integrants d'ELHUYAR. Quant a la continuïtat de negoci l'abast d'aquesta Política està limitat a corts de servei prolongats en el temps. Per tant, aquest pla no és aplicable en el treball diari normal de l'organització i exclou activitats com ara:
- Atacs amb armes químiques o nuclears.
- Atacs de terrorisme
- Guerra
- Qualsevol altre tipus d'acte o incidència que requereixi acció militar o de les autoritats competents.
2. Principis de la Política de la Informació
La present Política respon a les recomanacions de les millors pràctiques de Seguretat de la Informació recollides en l'Estàndard Internacional ISO, així com al compliment de la legislació vigent en matèria de protecció de dades personals i de les normatives que, en l'àmbit de la Seguretat de la Informació, puguin afectar a ELHUYAR.
A més, ELHUYAR estableix els següents principis bàsics com a directrius fonamentals de seguretat de la informació que han de tenir-se sempre presents en qualsevol activitat relacionada amb el tractament d'informació:
- Abast estratègic: La seguretat de la informació haurà de comptar amb el compromís i suport de tots els nivells directius d'ELHUYAR de manera que pugui estar coordinada i integrada amb la resta de les iniciatives estratègiques per a conformar un marc de treball completament coherent i eficaç.
- Seguretat integral: La seguretat de la informació s'entendrà com un procés integral constituït per elements tècnics, humans, materials i organitzatius, evitant, excepte casos d'urgència o necessitat, qualsevol actuació puntual o tractament conjuntural. La seguretat de la informació haurà de considerar-se com a part de l'operativa habitual, sent present i aplicant-se durant tot el procés de disseny, desenvolupament i manteniment dels sistemes d'informació.
- Gestió de riscos: L'anàlisi i gestió de riscos serà part essencial del procés de seguretat de la informació. La gestió de riscos permetrà el manteniment d'un entorn controlat, minimitzant els riscos fins a nivells acceptables. La reducció d'aquests nivells es realitzarà mitjançant el desplegament de mesures de seguretat, que establirà un equilibri entre la naturalesa de les dades i els tractaments, l'impacte i la probabilitat dels riscos als quals estan exposats i l'eficàcia i el cost de les mesures de seguretat.
- Proporcionalitat: L'establiment de mesures de protecció, detecció i recuperació haurà de ser proporcional als potencials riscos i a la criticitat i valor de la informació i dels serveis afectats.
- Millora contínua: Les mesures de seguretat es reavaluaran i actualitzaran periòdicament per a adequar la seva eficàcia a la constant evolució dels riscos i sistemes de protecció. La seguretat de la informació serà atesa, revisada i auditada per personal qualificat.
- Seguretat per defecte: Els sistemes hauran de dissenyar-se i configurar-se de manera que garanteixin un grau suficient de seguretat per defecte.
ELHUYAR considera que les funcions de Seguretat de la Informació hauran de quedar integrades en tots els nivells jeràrquics del seu personal.
Com que la Seguretat de la Informació incumbeix a tot el personal d'ELHUYAR, aquesta Política haurà de ser coneguda, compresa i assumida per tots els seus empleats.
Per a la consecució dels objectius d'aquesta Política, ELHUYAR haurà d'establir una estratègia preventiva d'anàlisi sobre els riscos que poguessin afectar-lo, identificant-los, implantant controls per a la seva mitigació i establint procediments regulars per a la seva reavaluació. En el transcurs d'aquest cicle de millora contínua, ELHUYAR mantindrà la definició tant del nivell de risc residual acceptat (apetit al risc) com dels seus llindars de tolerància.
3. Compromís de la Direcció
La Direcció d'ELHUYAR, conscient de la importància de la seguretat de la informació i de la continuïtat del negoci per a dur a terme amb èxit els seus objectius de negoci, es compromet a:
- Promoure en l'organització les funcions i responsabilitats en l'àmbit de seguretat de la informació.
- Facilitar els recursos adequats per a aconseguir els objectius de seguretat de la informació i continuïtat del negoci.
- Impulsar la divulgació i la conscienciació de la Política de Seguretat de la Informació entre els empleats d'ELHUYAR.
- Exigir el compliment de la Política, de la legislació vigent i dels requisits dels reguladors en l'àmbit de la seguretat de la informació.
- Considerar els riscos de seguretat de la informació en la presa de decisions.
- Documentar els processos de treball que es duen a terme en l'empresa per a determinar el nivell de criticitat d'aquests i poder anticipar les estratègies i les mesures organitzatives i tècniques de la companyia en cas de desastre.
- Garantir la continuïtat del negoci.
- Garantir una adequada protecció de la confidencialitat, integritat i disponibilitat de la informació.
- Promoure el compromís de millora contínua de l'organització.
SIGNAT LA DIRECCIÓ