2 de enero de 2014

Política de Prevención de Riesgos Laborales

 

Objeto

El objeto del presente documento es establecer la Política de Seguridad de la Información (SGSI) de ALTEN SPAIN, S.A.U. (en adelante ALTEN).

Dicha Política se desarrolla en otros documentos (procedimientos, instrucciones, manuales, etc.) que tratan en detalle aspectos particulares de la gestión de la seguridad de la información definidos en el modelo de referencia de la norma UNE- ISO/IEC 27001.

La política de seguridad de la información de ALTEN, se enmarca dentro de la estrategia de la empresa y se enfoca a cumplir el compromiso de calidad y excelencia de ALTEN: “Satisfacer las necesidades y expectativas de sus clientes”, desarrollado en la declaración de la política de calidad de la empresa.

Alcance

El alcance de la presente política comprende las siguientes áreas y procesos de ALTEN:

  • Procesos de gestión de la actividad comercial y la gestión de ofertas para proyectos del área de la administración pública en Madrid.

Exclusiones:

  • Controles contra códigos móviles: Este control no aplica ya que dentro del alcance no se han definido descarga de códigos móviles.
  • Comercio electrónico: La Organización no realiza actividades relacionadas con el comercio electrónico dentro del alcance del SGSI.
  • Transacciones en línea: La Organización no realiza actividades relacionadas con el comercio electrónico dentro del alcance del SGSI.

Se incluyen dentro del alcance del SGSI y su certificación a todo el personal, sistemas informáticos y activos que ALTEN emplea para la prestación de estos servicios, de acuerdo con la definición vigente en cada momento.

La prestación de los servicios se realiza desde las oficinas principales de ALTEN situadas en Madrid en el Edificio Cristalia (Vía de los Poblados, 3 – 28033 Madrid), que se incluyen formalmente en el alcance de dicha certificación.

 

Vigencia y Aceptación de la Política de Seguridad

Esta política estará vigente desde la fecha de su firma, que constará en el apartado 0: “Objetivos y Principios de Seguridad”.

El aseguramiento de que todas las personas que influyen en la seguridad conocen la política y los objetivos planteados, se conseguirá gracias a su difusión, por parte del Responsable de Seguridad, a todos los niveles de la organización que corresponda, así como por medio de la distribución de los documentos que aplican a cada nivel en los distintos puestos de trabajo.

En el momento de la incorporación de un empleado (interno o externo) a la entidad, éste aceptará la política de seguridad de la organización comprometiéndose a su cumplimiento.

 

Revisión de la Política de Seguridad

La presente política será examinada en las revisiones del Sistema por la Dirección, para asegurar su continua adecuación y eficacia. Se tendrán en cuenta cambios significativos en el marco legal y de negocio, resultados de auditorías, así como análisis de riesgos y sugerencias de mejora.

En este sentido, se establecerán objetivos documentales y cuantificables que serán elaborados y revisados periódicamente por parte de Dirección.

 

Roles y Responsabilidades

Todo personal de ALTEN involucrado en los procesos incluidos en el alcance, será responsable de la implementación de esta Política de Seguridad de la Información, dentro de sus áreas de responsabilidad, así como del cumplimiento de dicha política por parte de su equipo de trabajo.

A continuación, se exponen más en detalle, los roles y responsabilidades a tener en cuenta como parte de la aplicación de la Política de Seguridad dentro del ámbito del SGSI implantado en ALTEN:

  • El Comité de Calidad y Seguridad de la Información de ALTEN, asume las siguientes funciones principales:
    – Revisar y proponer a la Dirección, para su aprobación, esta Política de Seguridad de la Información y las funciones generales en materia de seguridad de la información.
    – Gestionar cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes.
    – Tomar conocimiento y supervisar la gestión de incidentes relativos a la seguridad.
    – Aprobar las principales iniciativas para incrementar la seguridad de la información, de acuerdo con las competencias y responsabilidades asignadas a cada área, así como acordar y aprobar metodologías y procesos específicos relativos a seguridad de la información.
    – Garantizar que la seguridad sea parte del proceso de planificación de la información.
    – Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.
    – Promover la difusión y apoyo a la seguridad de la información dentro de la empresa.
  • La Dirección de ALTEN es el órgano encargado de aprobar la política y de autorizar sus modificaciones.
  • El Responsable de Gestión de la Seguridad (RGS) asume las siguientes funciones principales:
    – Centralizar la dirección de las actividades del SGSI en ALTEN, coordinando todas las actuaciones en materia de seguridad dentro de las áreas definidas en el alcance del SGSI.
    – Notificar la presente política a todo el personal, e informar de los cambios que en ella se produzcan,
    – Implementar la suscripción de los Compromisos de Confidencialidad y las tareas de capacitación continua en materia de seguridad.
  • Los Propietarios de la Información son responsables de clasificarla de acuerdo con el grado de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la clasificación efectuada, y de definir qué usuarios deberán tener permisos de acceso a la información de acuerdo a sus funciones y competencia.
  • Recursos Humanos o los responsables del área en el caso de los empleados externos, cumplirá la función de notificar a todo el personal que ingresa sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ella se deriven.
  • El Responsable del Área de TI cumplirá la función de cubrir los requerimientos de seguridad informática establecidos para la operación, administración, desarrollo y comunicación de los sistemas y recursos de tecnología de la empresa.
  • El Responsable del Área Legal verificará el cumplimiento de la presente política en la gestión de todos los contratos, acuerdos u otra documentación de la entidad con sus empleados y con terceros.
  • Los usuarios de la información y de los sistemas utilizados para su procesamiento, son responsables de conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad de la Información vigente.
  • Quien sea propuesto por el Comité de Calidad y Seguridad de la Información, será responsable de practicar auditorías periódicas sobre los sistemas y actividades vinculadas con la tecnología de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta política y por las normas, procedimientos y prácticas que de ella surjan.

 

Violación de la Política de Seguridad

El incumplimiento de la Política y Normativa de Seguridad por parte de un empleado (interno o externo) podrá dar lugar, en el ámbito laboral, a responsabilidades de acuerdo a lo establecido en el Estatuto de los Trabajadores y para el caso de vinculación civil o mercantil con ALTEN a aquellas responsabilidades que se deriven de la naturaleza de dicha vinculación.

 

Objetivos y principios de seguridad

Para que los servicios ofrecidos por ALTEN se presten con eficacia, en términos de nivel de servicio, seguridad, disponibilidad y alcance, la Dirección de la empresa apuesta por una gestión basada en un cumplimiento estricto de cualquier requisito legal que le afecte, en la creación de valor para sus clientes y en la implantación de una serie de buenas prácticas, articuladas a través de modelos de referencia internacional, como son las Normas ISO.

Por este motivo, ALTEN ha decidido desarrollar su Política de Seguridad de la Información, que fija sus Objetivos de Seguridad alineados con las necesidades de negocio, el reconocimiento del valor añadido de los sistemas a proteger y una compresión de los riesgos asociados a estos sistemas y expresados en los siguientes términos:

  • Cumplimiento con los requerimientos de negocio.
  • Protección de los activos afectados de las amenazas internas, externas, accidentales o deliberadas, accesos no autorizados, etc.
  • Se analizarán los riesgos de seguridad de la información de todos los servicios prestados por la organización, incluidos en el alcance del sistema y se establecerán los controles asociados necesarios para mitigar los riesgos identificados. Estos controles de seguridad se desarrollarán de acuerdo a las directrices recogidas en la Normativa de Seguridad de la Información.
  • Mantenimiento del riesgo al que está sometida la información por debajo del nivel exigido por ALTEN.
  • Optimización de los costes y garantía de la seguridad en la prestación de servicios incluidos en el alcance, por parte de ALTEN, asegurando la confidencialidad de la información y manteniendo la integridad y la disponibilidad de la misma.
  • Cumplimiento de los requerimientos legislativos y regulatorios.
  • Elaboración, mantenimiento y prueba de Planes de Continuidad de Negocio.
  • Establecer un Plan de formación y concienciación en materia de seguridad de la información que ayude al personal implicado a conocer y cumplir esta política, y a prevenir los riesgos identificados o potenciales.
  • Gestión de todo tipo de incidentes de seguridad.
  • Implantación de un sistema de mejora continua basado en un control permanente de la gestión y en la estrategia de gestión de riesgos adoptada por la empresa.

La Política de Seguridad se desarrolla mediante documentos específicos (Procedimientos…), que determinan, dentro de su ámbito, la forma en que esta política debe ser aplicada a los distintos activos y procesos de ALTEN incluidos dentro del Alcance del SGSI, para que, alcanzando sus objetivos particulares, contribuyan al cumplimiento de la misión y objetivos de la empresa.

Por todo ello, la Dirección de ALTEN declara explícitamente su conocimiento y aprobación de la política desarrollada en este ámbito, de forma que todo el personal afectado (interno o externo) debe conocerla y aplicarla como parte de las tareas propias de su función en la empresa.

ALTEN dota de los recursos necesarios para la aplicación efectiva de esta política, y para su buen desarrollo, tanto en las actividades de implantación como en el posterior mantenimiento de todo el Sistema de Gestión de la Seguridad de la Información.

La presente política es conocida por todo el personal de ALTEN contemplado en el alcance, de acuerdo a las exigencias de la Dirección.

 

Firma_Olivier