Política de Calidad de la Seguridad de la Información

Vigencia y Aceptación de la Política de Seguridad

Esta política estará vigente desde la fecha de su firma, que constará en el apartado 2: “Objetivos y Principios de Seguridad”.

El aseguramiento de que todas las personas que influyen en la seguridad conocen la política y los objetivos planteados, se conseguirá gracias a su difusión, por parte del Responsable de Seguridad, a todos los niveles de la organización que corresponda, así como por medio de la distribución de los documentos que aplican a cada nivel en los distintos puestos de trabajo.

En el momento de la incorporación de un emplead@ (intern@ o extern@) a la entidad, éste aceptará la política de seguridad de la organización comprometiéndose a su cumplimiento.

Revisión de la Política de Seguridad

La presente política será examinada, mínimo anualmente, en las revisiones del Sistema por la Dirección, para asegurar su continua adecuación y eficacia. Se tendrán en cuenta cambios significativos en el marco legal y de negocio, resultados de auditorías, así como análisis de riesgos y sugerencias de mejora.

En este sentido, se establecerán objetivos documentales y cuantificables que serán elaborados y revisados periódicamente por parte de la Dirección.

Roles y Responsabilidades

Todo personal de ALTEN involucrado en los procesos incluidos en el alcance, será responsable de la implementación de esta Política de Seguridad de la Información, dentro de sus áreas de responsabilidad, así como del cumplimiento de dicha política por parte de su equipo de trabajo.

A continuación, se exponen más en detalle, los roles y responsabilidades a tener en cuenta como parte de la aplicación de la Política de Seguridad dentro del ámbito del SGSI implantado en ALTEN:

  • La Dirección de ALTEN es el órgano encargado de aprobar la política y de autorizar sus modificaciones
  • El Comité de Calidad y Seguridad de la Información de ALTEN, asume las siguientes funciones principales:
  1. Revisar y proponer a la Dirección, para su aprobación, esta Política de Seguridad de la Información y las funciones generales en materia de seguridad de la información
  2. Gestionar cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes
  3. Tomar conocimiento y supervisar la gestión de incidentes relativos a la seguridad
  4. Aprobar las principales iniciativas para incrementar la seguridad de la información, de acuerdo con las competencias y responsabilidades asignadas a cada área, así como acordar y aprobar metodologías y procesos específicos relativos a seguridad de la información
  5. Garantizar que la seguridad sea parte del proceso de planificación de la información
  6. Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios
  7. Promover la difusión y apoyo a la seguridad de la información dentro de la empresa
  • El Responsable de Gestión de la Seguridad (RGS) asume las siguientes funciones principales:
  1. Centralizar la dirección de las actividades del SGSI en ALTEN, coordinando todas las actuaciones en materia de seguridad dentro de las áreas definidas en el alcance del SGSI
  2. Notificar la presente política a todo el personal, e informar de los cambios que en ella se produzcan
  3. Implementar la suscripción de los Compromisos de Confidencialidad y las tareas de capacitación continua en materia de seguridad
  • Los Propietarios de la Información son responsables de clasificarla de acuerdo con el grado de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la clasificación efectuada, y de definir qué usuarios deberán tener permisos de acceso a la información de acuerdo a sus funciones y competencia.
  • Recursos Humanos, o los responsables del área en el caso de los empleados externos, cumplirán la función de notificar a todo el personal que ingresa sus obligaciones respecto al cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ella se deriven.
  • El Responsable del Área de TI cumplirá la función de cubrir los requerimientos de seguridad informática establecidos para la operación, administración, desarrollo y comunicación de los sistemas y recursos de tecnología de la empresa.
  • El Responsable del Área Legal verificará el cumplimiento de la presente política en la gestión de todos los contratos, acuerdos u otra documentación de la entidad con sus empleados y con terceros.
  • Los usuarios de la información y de los sistemas utilizados para su procesamiento, son responsables de conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad de la Información vigente.
  • Quien sea propuesto por el Comité de Calidad y Seguridad de la Información, será responsable de practicar auditorías periódicas sobre los sistemas y actividades vinculadas con la tecnología de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta política y por las normas, procedimientos y prácticas que de ella surjan.

Violación de la Política de Seguridad

El incumplimiento de la Política y Normativa de Seguridad por parte de un empleado (interno o externo) podrá dar lugar, en el ámbito laboral, a responsabilidades de acuerdo a lo establecido en el Estatuto de los Trabajadores y para el caso de vinculación civil o mercantil con ALTEN a aquellas responsabilidades que se deriven de la naturaleza de dicha vinculación.

Objetivos y principios de seguridad

Para que los servicios ofrecidos por ALTEN se presten con eficacia, en términos de nivel de servicio, seguridad, disponibilidad y alcance, la Dirección de la empresa apuesta por una gestión basada en un cumplimiento estricto de cualquier requisito legal que le afecte, en la creación de valor para sus clientes y en la implantación de una serie de buenas prácticas, articuladas a través de modelos de referencia internacional, como son las Normas ISO.

Por este motivo, ALTEN ha decidido desarrollar su Política de Seguridad de la Información, que fija sus Objetivos de Seguridad alineados con las necesidades de negocio, el reconocimiento del valor añadido de los sistemas a proteger y una compresión de los riesgos asociados a estos sistemas y expresados en los siguientes términos:

  • Cumplimiento con los requerimientos de negocio.
  • Protección de los activos afectados de las amenazas internas, externas, accidentales o deliberadas, accesos no autorizados, etc.
  • Se analizarán los riesgos de seguridad de la información de todos los servicios prestados por la organización, incluidos en el alcance del sistema y se establecerán los controles asociados necesarios para mitigar los riesgos identificados. Estos controles de seguridad se desarrollarán de acuerdo a las directrices recogidas en la Normativa de Seguridad de la Información.
  • Mantenimiento del riesgo al que está sometida la información por debajo del nivel exigido por ALTEN.
  • Optimización de los costes y garantía de la seguridad en la prestación de servicios incluidos en el alcance, por parte de ALTEN, asegurando la confidencialidad de la información y manteniendo la integridad y la disponibilidad de la misma.
  • Cumplimiento de los requerimientos legislativos y regulatorios.
  • Elaboración, mantenimiento y prueba de Planes de Continuidad de Negocio.
  • Establecer un Plan de formación y concienciación en materia de seguridad de la información que ayude al personal implicado a conocer y cumplir esta política, y a prevenir los riesgos identificados o potenciales.
  • Gestión de todo tipo de incidentes de seguridad.
  • Implantación de un sistema de mejora continua basado en un control permanente de la gestión y en la estrategia de gestión de riesgos adoptada por la empresa.

La Política de Seguridad se desarrolla mediante documentos específicos (Procedimientos…), que determinan, dentro de su ámbito, la forma en que esta política debe ser aplicada a los distintos activos y procesos de ALTEN incluidos dentro del Alcance del SGSI, para que, alcanzando sus objetivos particulares, contribuyan al cumplimiento de la misión y objetivos de la empresa.

Por todo ello, la Dirección de ALTEN declara explícitamente su conocimiento y aprobación de la política desarrollada en este ámbito, de forma que todo el personal afectado (interno o externo) debe conocerla y aplicarla como parte de las tareas propias de su función en la empresa.

ALTEN dota de los recursos necesarios para la aplicación efectiva de esta política, y para su buen desarrollo, tanto en las actividades de implantación como en el posterior mantenimiento de todo el Sistema de Gestión de la Seguridad de la Información.

La presente política es conocida por todo el personal de ALTEN contemplado en el alcance, de acuerdo a las exigencias de la Dirección.

Esta política será revisada con una periodicidad máxima anual, y sus cambios deberán ser aprobados por la Dirección de la empresa.

Madrid, a 25 de enero de 2019

Firma_Olivier