Política SGSI

1. Objetivo, alcance y usuarios

El propósito de esta Política de alto nivel es definir el objetivo, dirección, principios y reglas básicas para la gestión de la seguridad de la información.

Esta Política se aplica a todo el Sistema de Gestión de Seguridad de la Información (SGSI), según se define en el Documento sobre el alcance del SGSI.

Los usuarios de este documento son todos los empleados de Kabilio, como también terceros externos a la organización.

 

2. Documentos de referencia

●  Norma ENS.

●  Documento sobre el alcance del SGSI

●  Metodología de evaluación y tratamiento de riesgos

●  Declaración de aplicabilidad

●  Lista de requisitos legales, normativos, contractuales y de otra índole

 

3. Terminología básica sobre seguridad de la información

Confidencialidad: característica de la información por la cual solo está disponible para personas o sistemas autorizados.

Integridad: característica de la información por la cual solo que es modificada por personas o sistemas autorizados y de una forma permitida.

Disponibilidad: característica de la información por la cual solo pueden acceder las personas autorizadas cuando sea necesario.

Seguridad de la información: es la preservación de la confidencialidad, integridad y disponibilidad de la información.

Sistema de gestión de seguridad de la información: parte de los procesos generales de gestión que se encarga de planificar, implementar, mantener, revisar y mejorar la seguridad de la información.

RS: Responsable de Seguridad

 

4. Gestión de la seguridad de la información

4.1.  Objetivos y medición

Los objetivos generales del SGSI son:

Proteger la confidencialidad, integridad y disponibilidad de la información
 Garantizar que la información crítica esté disponible solo para quienes estén autorizados, que no sea modificada sin control, y esté disponible cuando se requiera.


Cumplir con los requisitos legales, regulatorios y contractuales aplicables
Asegurar que todas las actividades del SGSI respeten los marcos normativos y compromisos contractuales relevantes.


Reducir y gestionar los riesgos de seguridad de la información
 Identificar, evaluar y tratar los riesgos que puedan afectar la información o los activos de la organización, reduciéndolos a niveles aceptables.


Fomentar la cultura de seguridad en la organización
 Promover la concienciación, formación y participación activa del personal en la protección de la información.


Mejorar continuamente la eficacia del SGSI
 Revisar, auditar y actualizar periódicamente los controles, procesos y políticas del SGSI para asegurar su adecuación y eficacia.


Garantizar la gestión efectiva de incidentes de seguridad de la información
 Detectar, responder y aprender de incidentes para minimizar impactos y evitar recurrencias.

 

4.2. Requisitos para la seguridad de la información

Esta Política, y todo el SGSI, deben cumplir los requisitos legales y normativos importantes para la organización en el ámbito de la seguridad de la información, como también con las obligaciones contractuales.

En el documento “Evaluación de requisitos legales” se revisarán estos requisitos y porque aplica a la organización.

Adelantamos las principales normas que se deben cumplir y que se podrán ver en el documento “Evaluación de requisitos legales”

Reglamento General de Protección de Datos (RGPD / GDPR - UE)

Obligatorio si se tratan datos personales de ciudadanos de la Unión Europea. Afecta al tratamiento, transferencia, almacenamiento y consentimiento.

Propiedad intelectual y derechos de software

Ley de Servicios de la Sociedad de la Información (LSSI) en España

Obligaciones fiscales y mercantiles

 

4.3. Controles de seguridad de la información

El proceso de escoger los controles (protección) está definido en la Metodología de evaluación y tratamiento de riesgos.

Los controles seleccionados y su estado de implementación se detallan en la Declaración de aplicabilidad.

4.4. Responsabilidades

Las responsabilidades para el SGSI son las siguientes:

●  El RS es el responsable de garantizar que el SGSI sea implementado y mantenido de acuerdo con esta Política y de garantizar que todos los recursos necesarios estén disponibles.

●  El RS es el responsable de la coordinación operativa del SGSI, como también de informar su desempeño.

●  La alta dirección debe revisar el SGSI al menos una vez por año o cada vez que se produzca una modificación significativa; y debe elaborar actas de dichas reuniones. El objetivo de las verificaciones por parte de la dirección es establecer la conveniencia, adecuación y eficacia del SGSI.

●  El RS implementará programas de formación y concienciación de empleados sobre seguridad de la información.

●  La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del propietario de cada activo.

●  Todos los incidentes o debilidades de seguridad deben ser informados al RS.

●  El RS definirá qué información relacionada con la seguridad de la información será comunicada a qué parte interesada (tanto interna como externa), por quién y cuándo.

●  El RS es el responsable de adoptar e implementar el Plan de formación y concienciación, que corresponde a todas las personas que cumplen un rol en la gestión de la seguridad de la información.

4.5. Comunicación de la Política

El RS debe asegurarse de que todos los empleados de Kabilio, como también los participantes externos correspondientes, estén familiarizados con esta Política. Además, esta política se pondrá a disposición de las partes interesadas externas pertinentes cuando lo soliciten, conforme a lo definido en el SGSI. Así como es difundida por el Responsable de Seguridad a todos los empleados y proveedores

 

5. Apoyo para la implementación del SGSI

A través del presente, el RS declara que en la implementación y mejora continua del SGSI se contará con el apoyo de los recursos adecuados para lograr todos los objetivos establecidos en esta Política, como también para cumplir con todos los requisitos identificados.

 

6. Validez y gestión de documentos

El propietario de este documento es el RS, que debe verificar, y si es necesario actualizar, el documento por lo menos una vez al año.

Al evaluar la efectividad y adecuación de este documento, es necesario tener en cuenta los siguientes criterios:

●  Cantidad de empleados y participantes externos que cumplen un rol en el SGSI pero que no están familiarizados con el presente documento.

●  No cumplimiento del SGSI con las leyes y normas, las obligaciones contractuales y con los demás documentos internos de la organización.

●  Ineficacia de la implementación y mantenimiento del SGSI.

●  Responsabilidades ambiguas para la implementación del SGSI.