1. Introdución
A Política de Seguridade da Información (en diante, Política) persegue a adopción dun conxunto de medidas destinadas a preservar a confidencialidade, integridade e dispoñibilidade da información, que constitúen o tres compoñentes básicos da seguridade da información, e ten como obxectivo establecer os requisitos para protexer a información, os equipos e servizos tecnolóxicos e ademais garantir a continuidade do negocio en caso de desastre, o cal serve de soporte para a maioría dos procesos de negocio de ELHUYAR. Na actualidade, as tecnoloxías da información enfróntanse a un crecente número de ameazas, o cal require dun esforzo constante por adaptarse e xestionar os riscos introducidos por estas.
1.1. Obxectivo
O obxectivo principal da presente Política de alto nivel é definir os principios e as regras básicas para a xestión da seguridade da información e continuidade do negocio. O fin último é lograr que ELHUYAR garanta a seguridade da información e minimice os riscos de natureza non financeira derivados dun impacto provocado por unha xestión ineficaz da mesma. Ademais, contrarrestar as interrupcións das actividades empresariais e protexer os procesos críticos de negocio dos efectos derivados de fallos importantes ou catastróficos dos sistemas de información de ELHUYAR, así como garantir a súa oportuna continuación.
1.2. Alcance
O alcance da presente Política abarca toda a información de ELHUYAR con independencia da forma na que se procese, quen acceda a ela, o medio que a conteña ou o lugar no que se atope, xa se trate de información impresa ou almacenada electronicamente. A Política deberá estar dispoñible na páxina web corporativa e é accesible por todos os integrantes de ELHUYAR. En canto á continuidade de negocio o alcance desta Política está limitado a cortes de servizo prolongados no tempo. Por tanto, este plan non é de aplicación no traballo diario normal da organización e exclúe actividades talles como:
- Ataques con armas químicas ou nucleares.
- Ataques de terrorismo
- Guerra
- Calquera outro tipo de acto ou incidencia que requira acción militar ou das autoridades competentes.
2. Principios da Política da Información
A presente Política responde as recomendacións das mellores prácticas de Seguridade da Información recollidas no Estándar Internacional ISO, así como ao cumprimento da lexislación vixente en materia de protección de datos persoais e das normativas que, no ámbito da Seguridade da Información, poidan afectar a ELHUYAR.
Ademais, ELHUYAR establece os seguintes principios básicos como directrices fundamentais de seguridade da información que deben terse sempre presentes en calquera actividade relacionada co tratamento de información:
- Alcance estratéxico: A seguridade da información deberá contar co compromiso e apoio de todos os niveis directivos de ELHUYAR de forma que poida estar coordinado e integrada co resto das iniciativas estratéxicas para conformar un marco de traballo completamente coherente e eficaz.
- Seguridade integral: A seguridade da información entenderase como un proceso integral constituído por elementos técnicos, humanos, materiais e organizativos, evitando, salvo casos de urxencia ou necesidade, calquera actuación puntual ou tratamento conxuntural. A seguridade da información deberá considerarse como parte da operativa habitual, estando presente e aplicándose durante todo o proceso de deseño, desenvolvemento e mantemento dos sistemas de información.
- Xestión de riscos: A análise e xestión de riscos será parte esencial do proceso de seguridade da información. A xestión de riscos permitirá o mantemento dunha contorna controlada, minimizando os riscos até niveis aceptables. A redución destes niveis realizarase mediante o despregamento de medidas de seguridade, que establecerá un equilibrio entre a natureza dos datos e os tratamentos, o impacto e a probabilidade dos riscos aos que están expostos e a eficacia e o custo das medidas de seguridade.
- Proporcionalidade: O establecemento de medidas de protección, detección e recuperación deberá ser proporcional aos potenciais riscos e á criticidad e valor da información e dos servizos afectados.
- Mellora continua: As medidas de seguridade se reevaluarán e actualizarán periodicamente para adecuar a súa eficacia á constante evolución dos riscos e sistemas de protección. A seguridade da información será atendida, revisada e auditada por persoal cualificado.
- Seguridade por defecto: Os sistemas deberán deseñarse e configurarse de forma que garantan un grao suficiente de seguridade por defecto.
ELHUYAR considera que as funcións de Seguridade da Información deberán quedar integradas en todos os niveis xerárquicos do seu persoal.
Posto que a Seguridade da Información incumbe a todo o persoal de ELHUYAR, esta Política deberá ser coñecida, comprendida e asumida por todos os seus empregados.
Para a consecución dos obxectivos desta Política, ELHUYAR deberá establecer unha estratexia preventiva de análise sobre os riscos que puidesen afectarlle, identificándoos, implantando controis para o seu mitigación e establecendo procedementos regulares para o seu reevaluación. No transcurso deste ciclo de mellora continua, ELHUYAR manterá a definición tanto do nivel de risco residual aceptado (apetito ao risco) como dos seus limiares de tolerancia.
3. Compromiso da Dirección
A Dirección de ELHUYAR, consciente da importancia da seguridade da información e da continuidade do negocio para levar a cabo con éxito os seus obxectivos de negocio, comprométese a:
- Promover na organización as funcións e responsabilidades no ámbito de seguridade da información.
- Facilitar os recursos axeitados para alcanzar os obxectivos de seguridade da información e continuidade do negocio.
- Impulsar a divulgación e a concienciación da Política de Seguridade da Información entre os empregados de ELHUYAR.
- Esixir o cumprimento da Política, da lexislación vixente e dos requisitos dos reguladores no ámbito da seguridade da información.
- Considerar os riscos de seguridade da información na toma de decisións.
- Documentar os procesos de traballo que levan a cabo na empresa para determinar o nivel de criticidad destes e poder anticipar as estratexias e as medidas organizativas e técnicas da compañía en caso de desastre.
- Garantir a continuidade do negocio.
- Garantir unha axeitada protección da confidencialidade, integridade e dispoñibilidade da información.
- Promover o compromiso de mellora continua da organización.
ASINADO A DIRECCIÓN