Política de seguridad de Ártica

 

Objeto

ÁrticaST basa su actividad en el tratamiento de diferentes tipos de datos e información, ello le permite ejecutar procesos básicos propios del negocio. Los códigos fuente, manuales de desarrollo, documentación, bases de datos de clientes, histórico de emails, y archivos, constituyen el activo principal de ÁrticaST, de tal manera que el daño o pérdida de los mismos inciden en la realización de sus operaciones y pueden poner en peligro la continuidad de la organización al tiempo que pueden suponer riesgos para los derechos fundamentales, las libertades públicas y los intereses de los afectados.

La Política de seguridad de la información proporciona las bases para definir y delimitar los objetivos y responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran para garantizar la seguridad de la información, cumpliendo el marco legal de aplicación y las directivas, políticas específicas y procedimientos definidos. 

La presente política está alineada con el contexto de la estrategia de gestión de riesgos de la organización establecida en el documento de “evaluación y análisis y gestión de riesgos” que es el punto de partida para crear e implementar el SGSI de ÁrticaST. 

A raíz de dicho análisis de riesgos se seleccionan e implantan una serie de controles siempre con el objetivo de lograr un equilibrio entre el riesgo que la dirección de la empresa considera aceptable sobre sus activos y el coste de las medidas que se pueden implantar para paliar dicho riesgo. 

Los criterios de estimación de riesgos establecidos por ÁrticaST se basan en una metodología propia partiendo del catálogo de amenazas definido por Magerit. Dicha metodología se basa en la identificación de activos necesarios para que la empresa alcance sus objetivos; la valoración de dichos activos en función de la importancia que tiene para ÁrticaST una pérdida de confidencialidad, disponibilidad o integridad; la identificación de las amenazas y vulnerabilidades que pueden afectar a dichos activos y la valoración de dichas amenazas; la determinación del impacto, en el sentido, de la degradación que puede sufrir un activo en el supuesto de que una amenaza llegara a materializarse; y la estimación del riesgo conjugando todos estos factores, es decir: la probabilidad de ocurrencia de una amenaza, el impacto que esta causaría sumado a la importancia que dichos activos tienen para la empresa desde los tres ámbitos mencionados. Todas estas cuestiones desarrolladas en el documento PS-03. Metodología de análisis y gestión de riesgos.

El informe de análisis de riesgos se define además cuál es el nivel de riesgo aceptado por la empresa y el riesgo residual asumido y aceptado por la dirección. 

Son los responsables de los activos de información junto con el responsable del SGSI, el responsable de IT y el Delegado de Protección de Datos quienes deben definir los requisitos de seguridad, identificando y priorizando la importancia de los distintos elementos de la actividad realizada, de modo que los procesos más importantes y/o sensibles recibirán mayor protección.

Es responsabilidad del Comité de Seguridad de la Información y Protección de Datos promover y apoyar la implantación de las medidas técnicas y organizativas necesarias para minimizar los riesgos potenciales a los que se encuentra expuesta la información en la consecución de los objetivos estratégicos del negocio.

El objeto de esta Política es alcanzar una protección adecuada de la información de ÁrticaST, preservando las siguientes cualidades de la seguridad: 

  • Confidencialidad: garantizar que la información sea accesible sólo para quien esté autorizado a tener acceso a la misma.
  • Integridad: garantizar la exactitud y completitud de la información y de los métodos de su procesamiento.
  • Disponibilidad: garantizar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.

 

Estos principios básicos se deben preservar y asegurar en cualquiera de las formas que adopte la información, ya sea en formato electrónico, impreso, visual o hablado, e independientemente de que sea tratada en las dependencias de ÁrticaST o fuera de ellas.

Así mismo, estos principios se deberán contemplar en las siguientes áreas de seguridad: 

  • Física: Comprendiendo la seguridad de las dependencias, instalaciones, sistemas hardware, soportes y cualquier activo de naturaleza física que trate o pueda tratar información.
  • Lógica: Incluyendo los aspectos de protección de aplicaciones, redes y prototipos de comunicación electrónica y sistemas informáticos. 
  • Político-corporativa: Formada por los aspectos de seguridad relativos a la propia organización, a las normas internas, regulaciones y normativa legal.

 

Declaración de intenciones

Sancho Lerena Urrea, socio fundador y CEO de ÁrticaST es consciente de la importancia que tiene para la organización la correcta gestión de la seguridad de la información de cara a conseguir un grado óptimo de competitividad en el mercado actual. 

Por ello, ÁrticaST ha desarrollado la presente Política de Seguridad y los correspondientes procedimientos con el objeto de garantizar la confidencialidad, integridad y disponibilidad de la información y los derechos fundamentales y libertades públicas de los titulares de datos de carácter personal. 

La Dirección ha pretendido definir los procesos más adecuados para que ÁrticaST emprenda un proceso de mejora de su sistema de seguridad de la información con el convencimiento que redundará en una mayor eficacia de sus procesos de producción. Por ello, cuando se detallen las aplicaciones o soluciones concretas a los puntos contenidos en el presente documento, se hará bajo dicha perspectiva, potenciando en lo posible aquellas soluciones que lleven seguridad a la información relevante de ÁrticaST.

La intención final de todo el sistema definido y desarrollado por el despacho es la de ofrecer el mejor servicio a nuestros clientes, mejorando nuestros procesos y respetando escrupulosamente sus derechos legalmente establecidos.

Por todo ello, la dirección de ÁrticaST quiere dejar constancia expresa de su conocimiento y de su aprobación de las políticas desarrolladas en este documento, de forma que todo el personal la debe conocer y asumir como una parte de sus funciones laborales.

Para que todo esto sea posible se asignarán los recursos necesarios para el buen desarrollo de lo aquí establecido, tanto en el inicio del proyecto como en su mantenimiento futuro.

 

En Madrid, a 1 de julio de 2020

 

 

Política de seguridad de la información

     

     ÁrticaST basa su actividad en el tratamiento de diferentes tipos de datos e información. Esto le permite ejecutar procesos básicos propios del negocio.

     Los códigos fuente, manuales de desarrollo, documentación, bases de datos de clientes, histórico de emails, y archivos constituyen, junto a sus recursos humanos, el activo principal de ÁrticaST, de tal manera que el daño o pérdida de los mismos inciden en la realización de sus operaciones y pueden poner en peligro la continuidad de la organización.

     Para que esto no suceda se ha diseñado una Política de Seguridad de la Información cuyos fines principales son:

     

    • Proteger, mediante controles y medidas de seguridad, los activos frente a amenazas que puedan derivar en incidentes de seguridad.
    • Paliar los efectos de los incidentes de seguridad.
    • Establecer un sistema de clasificación de la información y los datos con el fin de proteger los activos críticos de información.
    • Definir las responsabilidades en materia de seguridad de la información generando la estructura organizativa correspondiente.
    • Elaborar un conjunto de reglas, estándares y procedimientos aplicables a los órganos de dirección, empleados, socios, proveedores de servicios externos, etc.
    • Especificar los efectos que conlleva el incumplimiento de la Política de Seguridad en el ámbito laboral.
    • Evaluar los riesgos que afectan a los activos con el objeto de adoptar las medidas/controles de seguridad oportunos.
    • Verificar el funcionamiento de las medidas y controles de seguridad mediante auditorías de seguridad internas realizadas por auditores independientes.
    • Formar a los usuarios en la gestión de la seguridad y en tecnologías de la información y las comunicaciones.
    • Controlar el tráfico de información y de datos a través de infraestructuras de comunicaciones o mediante el envío de soportes de datos ópticos, magnéticos, en papel, etc.
    • Observar la legislación en materia de protección de datos, propiedad intelectual, laboral, de servicios de la sociedad de la información, penal, etc., que afecte a los activos de ÁrticaST.
    • Garantizar un servicio eficiente a nuestros clientes con un alto nivel de calidad, preservando así su confianza. 
    • Proteger el capital intelectual de la organización para que no se divulgue ni se utilice ilícitamente.
    • Obtener las evidencias que permitan acreditar los incidentes de seguridad y la identificación de su autor.
    • Reducir las posibilidades de indisponibilidad a través del uso adecuado de los activos de la organización.
    • Defender los activos ante ataques internos o externos para que no se transformen en incidentes de seguridad.
    • Controlar el funcionamiento de las medidas de seguridad averiguando el número de incidencias, su naturaleza y efectos.