Política de seguridad

Política de seguridad

Objetivo, alcance y usuarios

El propósito de la Política de Seguridad de la Información es definir el objetivo, dirección, principios y reglas básicas para la gestión de la seguridad de la información.

Esta Política se aplica a todo el Sistema de gestión de seguridad de la información, según se define en el Documento del Alcance del Sistema de Gestión.

Los usuarios de este documento son todos los empleados de Soluciones y Aplicaciones Formativas VAL, S.L, Fundación Treball i Formació TREFOR, RAG Formación e inserción laboral, S.L., y Área Vital Sport, S.L., así como también terceros externos a la organización.

1. Documentos de referencia

  • Norma ISO/IEC 27001, capítulos 5.2 y 5.3
  • Documento sobre el alcance del SGSI
  • Metodología de evaluación y tratamiento de riesgos
  • Declaración de aplicabilidad
  • Lista de obligaciones legales, normativas y contractuales
  • Política de la Continuidad del Negocio
  • Procedimiento para gestión de incidentes

2. Terminología básica sobre seguridad de la información

Confidencialidad: característica de la información por la cual solo está disponible para personas o sistemas autorizados.

Integridad: característica de la información por la cual solo que es modificada por personas o sistemas autorizados y de una forma permitida.

Disponibilidad: característica de la información por la cual solo pueden acceder las personas autorizadas cuando sea necesario.

Seguridad de la información: es la preservación de la confidencialidad, integridad y disponibilidad de la información.

Sistema de gestión de seguridad de la información:parte de los procesos generales de gestión que se encarga de planificar, implementar, mantener, revisar y mejorar la seguridad de la información.

3. Gestión de la seguridad de la información

3.1. Objetivos y medición

Los objetivos generales para el sistema de gestión de seguridad de la información son los siguientes:

  • reducir el número de incidentes en proporción a los usuarios
  • reducir el promedio de resolución de incidencias
  • crear una mejor imagen de mercado
  • minimizar el daño ocasionado por potenciales incidentes
  • permitir escalar el volumen de negocio incrementando la capacidad del sistema, sin incurrir en un incremento de riesgos significativo

Las metas están en línea con los objetivos comerciales, con la estrategia y los planes de negocio de la organización. El responsable de IT es el responsable de revisar los objetivos generales anuales del SGSI y de establecer nuevos.

Los objetivos para controles individuales de seguridad o grupos de controles son propuestos por los directores de empresa y son aprobados por el responsable de IT en la Declaración de aplicabilidad.

Todos los objetivos se revisan al menos una vez al año.

Soluciones y Aplicaciones Formativas VAL, S.L, Fundación Treball i Formació TREFOR, RAG Formacion e Insercion Laboral, S.L. y Área Vital Sport, S.L. medirán el cumplimiento de todos los objetivos. El responsable de IT es el responsable de definir el método para medir el cumplimiento de los objetivos; la medición se realizará al menos al menos una vez al año y el responsable de IT analizará y evaluará los resultados y los reportará a la Dirección General.

3.2. Requisitos para la seguridad de la información

Esta Política, y todo el SGSI, deben cumplir los requisitos legales y normativos importantes para la organización en el ámbito de la seguridad de la información, confidencialidad de las comunicaciones, y protección de datos personales, como también con las obligaciones contractuales.

En la Lista de obligaciones legales, normativas y contractuales se detalla una lista de requisitos.

3.3. Controles de seguridad de la información

El proceso de escoger los controles (protección) está definido en la metodología de evaluación y tratamiento de riesgos.

Los controles seleccionados y su estado de implementación se detallan en la Declaración de aplicabilidad.

3.4. Continuidad del negocio

La Gestión de la continuidad del negocio está reglamentada en la Política de gestión de la continuidad del negocio.3.5.

3.5. Responsabilidades

Las responsabilidades para el SGSI son las siguientes:

  • El responsable de IT es el responsable de garantizar que el SGSI sea implementado y mantenido de acuerdo con esta Política y de garantizar que todos los recursos necesarios estén disponibles.
  • El responsable de IT es el responsable de la coordinación operativa del SGSI, como también de informar sobre su desempeño.
  • El director general debe revisar el SGSI al menos una vez por año o cada vez que se produzca una modificación significativa; y debe elaborar actas de dichas reuniones. El objetivo de las verificaciones por parte de la dirección es establecer la conveniencia, adecuación y eficacia del SGSI.
  • El responsable de IT implementará programas de capacitación y concienciación de empleados sobre seguridad de la información.
  • La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del propietario de cada activo.
  • Todos los incidentes o debilidades de seguridad deben ser informados al responsable de IT
  • El responsable de IT definirá qué información relacionada con la seguridad de la información será comunicada a qué parte interesada (tanto interna como externa), por quién y cuándo.
  • El responsable de IT es el responsable de adoptar e implementar el Plan de capacitación y concienciación, que corresponde a todas las personas que cumplen una función en la gestión de la seguridad de la información.

3.6. Comunicación de la Política

El responsable de IT debe asegurarse de que todos los empleados de Soluciones y Aplicaciones Formativas VAL, S.L, Fundación Treball i Formació TREFOR, RAG Formación e inserción laboral, S.L., y Área Vital Sport, S.L., como también los participantes externos correspondientes, estén familiarizados con esta Política.

Existe una comunicación pública de la política de seguridad, disponible en https://areaformacionyconsultores.com/politica-de-seguridad/

4. Apoyo para la implementación del SGSI

A través del presente, el director general Rubén Ayala Gea declara que en la implementación y mejora continua del SGSI se contará con el apoyo de los recursos adecuados para lograr todos los objetivos establecidos en esta Política, como también para cumplir con todos los requisitos identificados.

5. Validez y gestión de documentos

Este documento es válido mientras no se apruebe una versión posterior.

El propietario de este documento es el Responsable de IT, que debe verificar, y si es necesario actualizar, el documento por lo menos una vez al año.

Al evaluar la efectividad y adecuación de este documento, es necesario tener en cuenta los siguientes criterios:

  • Cantidad de empleados y participantes externos que cumplen una función en el SGSI pero que no están familiarizados con el presente documento.
  • No cumplimiento del SGSI con las leyes y normas, las obligaciones contractuales y con los demás documentos internos de la organización.
  • Ineficacia de la implementación y mantenimiento del SGSI.
  • Responsabilidades ambiguas para la implementación del SGSI.
Preferencias de privacidad
Cuando visita nuestro sitio web, puede almacenar información a través de su navegador de servicios específicos, generalmente en forma de cookies. Aquí puede cambiar sus preferencias de privacidad. Tenga en cuenta que el bloqueo de algunos tipos de cookies puede afectar su experiencia en nuestro sitio web y los servicios que ofrecemos.
Privacy Policy
Has leido y aceptado la política de privacidad
Requerido
Política de privacidad Política de cookies