Política de Seguridad de la Información
Objetivo
El objetivo de esta Política es establecer las directrices y medidas necesarias para velar por una correcta gobernanza de la Seguridad de la Información.
Alcance
Todos los Sistemas de Información propiedad de la organización y aquellos de terceros mediante los cuales UVE es responsable de su gobernanza en materia de Seguridad de la Información. El Sistema de Información incluye además de la propia información, todo activo que le de soporte (instalación, infraestructura, hardware, software, personal, etc.)
Misión de UVE
La misión principal de UVE es la consecución de las expectativas y requisitos de las partes interesadas (Clientes, Accionistas, Usuarios, etc.), entre las que se encuentran requisitos legales, contractuales y/o internos en materia de Seguridad de la información.
Principios Rectores
- Seguridad por defecto: Si no hay autorización explícita el sistema opta por el estado más seguro, denegando cualquier acceso o funcionalidad.
- Seguridad desde el diseño: Considerar la Seguridad de la información en todos los ciclos de vida del Sistema de Información, comenzando por el diseño.
- Segregación de tareas: Separar la ejecución de tareas de un proceso en dos para evitar fraude. Generalmente aplica a desarrollo y producción; ejecución y supervisión.
- Necesidad de conocimiento: Solo los usuarios con necesidad de acceder a información o realizar una acción deben tener acceso.
- Defensa en profundidad: Tener distintas capas de seguridad unas dentro de otras.
Objetivos
- Cumplir con los requisitos en materia de Seguridad de la Información de las partes interesadas, como son: la legislación, regulación, contratos y otros requisitos internos.
- Proteger la información, lo que implica el uso de los principios rectores y proteger cada una de sus dimensiones de la información:
- Confidencialidad: No divulgación a individuos y/o entidades no autorizadas.
- Integridad: Ninguna modificación no autorizada.
- Disponibilidad: Acceso a la información conforme a lo esperado.
- Mejorar constantemente el SGSI.
Medidas
UVE se compromete a velar por la consecución de los objetivos, para ello establece e implanta medidas técnicas y organizativas necesarias para lograrlo. Entre estas medidas se encuentran, pero no se limitan a:
- Definir y asignar las funciones, responsabilidades y capacitaciones en materia de Seguridad de la Información necesarias para cada usuario del Sistema de Información y especialmente al personal responsable de implantar y mantener el SGSI y las medidas definidas por el mismo.
- Capacitar al personal en materia de seguridad de la información a través de la formación y concienciación necesaria.
- Gestionar (identificar, valorar, analizar, evaluar, notificar, aprobar, y tratar) riesgos en materia de seguridad de Información.
- Gestionar (definir, identificar, registrar, notificar, analizar, resolver y aplicar el conocimiento aprendido) los eventos y los Incidentes de Seguridad de la Información.
- Gestionar no conformidades, incumplimientos, excepciones a la normativa interna y requisitos y expectativas de las partes interesadas.
- Monitorizar el Sistema de Información y auditar el SGSI para la detección de riesgos, incidentes, amenazas, no conformidades, incumplimientos y oportunidades de mejora.
- Velar por que los trabajadores de UVE estén informados y cumplan con las políticas de seguridad y uso aceptable de los clientes de UVE Group.
- Velar por el cumplimiento de los objetivos en la cadena de suministros o en proveedores.
- Establecer las medidas de protección físicas y lógicas cuando así se requiera.
- Revisar periódicamente el marco documental para verificar la alineación con los requisitos.
Revisión
Periódicamente y cuando haya cambios relevantes, la Dirección de UVE revisará que la presente Política está alineada con:
- La estrategia, misión, visión y valores del negocio.
- El contexto actual (factores externos, internos, expectativas y requisitos de partes interesadas, riesgos y amenazas).
- Los requisitos y expectativas de las partes interesadas.