Introducció

NET SUPPORT SERVICIOS INFORMÁTICOS està fermament compromesa amb l’èxit dels nostres clients, per això els nostres productes i serveis reflecteixen l’orientació que tenim cap a les seves necessitats, per la qual cosa assegurar la disponibilitat dels nostres processos de negoci és un objectiu primordial per a l’organització.

Així mateix la informació que tractem diàriament és considerada com un actiu d’especial importància i criticitat. El seu caràcter confidencial i d’especial protecció, així establert a la Llei de Protecció de Dades Personals i Garanties Digitals (LOPD-GDD), es contraposa a l’evident i creixent necessitat d’accés per dur a terme una gestió adequada els processos de negoci, cobrant especial importància aquells relacionats amb els nostres clients. Aquesta situació, en estreta convivència amb les tecnologies de la informació i les comunicacions, constitueix un escenari on s’han d’adoptar les màximes precaucions a fi de reduir els riscos, garantir la continuïtat de negoci i mantenir una seguretat adequada de la informació.

Objectiu de la política

Per tant, i en aquesta línia, sent conscients des de sempre de la importància i la sensibilitat de la informació inherent a la nostra activitat, NET SUPPORT SERVICIOS INFORMÁTICOS considera clau, l’establiment d’un Sistema de Gestió de la Seguretat de la Informació (d’ara endavant, SGSI ) d’acord amb els requisits de la norma UNEIX ISO/IEC 27001.

Amb l’establiment d’aquests estàndards internacionals persegueix els objectius següents:

  • Aconseguir un lideratge i organització efectiva del SGSI
  • Definir i implantar, en l’àmbit organitzatiu, operatiu, tècnic i/o humà, les polítiques, instruccions, mesures, controls, etc. de seguretat de la informació i continuïtat de negoci.
  • Disposar d’una gestió del risc amb una metodologia clara, que periòdicament vaig fer anàlisis d’impactes en el negoci i anàlisi de riscos, els vaig avaluar i definir plans de tractament d’aquest risc.
  • Gestionar de manera eficaç la resposta davant d’incidents de seguretat o situacions d’emergència per assegurar la continuïtat dels processos de negoci essencials i els sistemes d’informació crítics.
  • Disposar d’un marc de referència i actuació per a la protecció dels processos de negoci i actius dels sistemes d’informació davant d’amenaces, internes o externes, deliberades o involuntàries, amb la finalitat de garantir la continuïtat de negoci, la seguretat de la informació i la disponibilitat.
  • Identificar i inventariar els actius d’informació i tractaments d’aquesta, a fi de dotar l’organització d’un sistema de classificació, permetent establir i definir diferents escenaris de control en funció dels criteris que s’estableixin (format, volum, contingut, grau de actualització, etc.).
  • Obtenir la ràpida recuperació dels serveis crítics davant d’una situació de desastre i aconseguir la tornada a l’estat de normalitat, en els temps establerts a l’anàlisi d’impacte de negoci.
  • Controlar els processos dintercanvi/comunicació dinformació amb terceres parts (proveïdors, organismes oficials, empreses col·laboradores, etc.).
  • Transmetre a terceres parts, relacionades amb lorganització, una imatge de serietat, compromís i responsabilitat focalitzada en el respecte als aspectes relatius a la seguretat de la informació i continuïtat de negoci.
  • Fomentar una cultura corporativa de seguretat de la informació i continuïtat de negoci a través de la conscienciació i la formació del personal, tant intern com extern, mitjançant la realització d’accions formatives, campanyes de divulgació, etc. en aquestes matèries.

Principis i compromisos

Aquesta política de seguretat de la informació se sustenta en els compromisos i principis fonamentals següents:

Principi de seguretat i protecció de tot el personal com a primera premissa i objectiu prioritari tant en situacions de normalitat com de contingència.

Principi de la Confidencialitat, Integritat, Disponibilitat, Autenticitat i Traçabilitat de la informació:

  • La seva disponibilitat, assegurant i garantint que els usuaris autoritzats tenen accés a la informació quan ho requereixen.
  • La seva integritat, garantint-ne l’exactitud i evitant que sigui alterada.
  • La seva Confidencialitat, vetllant que només els que estiguin autoritzats puguin accedir a la informació i no se’n produeixin fugues.
  • La seva Autenticitat per garantir que qui hi accedeix, de qui la rebem ia qui la lliurem són qui diuen ser.
  • La seva traçabilitat dels accessos i tractaments realitzats sobre la informació i garantint poder tenir coneixement en tot moment de Quan, On, Qui i Què passa amb la informació.

Principi de compliment normatiu, ajustant els nostres sistemes d’informació a la normativa legal vigent que afecti la seguretat de la informació i la continuïtat de negoci, especialment aquelles relacionades amb la protecció de dades de caràcter personal, seguretat dels sistemes, comunicacions i serveis electrònics. Parant especial atenció a aquells relacionats amb les dades personals:

  • Principi de “Licitud, transparència i lleialtat”, que consisteix que les dades són tractades de manera lícita, lleial i transparent per a l’interessat.
  • Principi de “limitació de la finalitat” que implica una finalitat legitima en recollir i tractar les dades.
  • Principi de “minimització de dades”, és a dir, que les dades siguin adequades, pertinents i limitades al que és necessari en relació amb les finalitats per a les quals són tractades.
  • Les dades, segons el “principi d’exactitud”, han de ser exactes i quan calgui, actualitzades.
  • El principi de “limitació del termini de conservació” tractat les dades adequades, pertinents i necessàries per a una finalitat, i limitant-ne la conservació en el temps a allò estrictament necessari.
  • Principi d’“integritat i confidencialitat” aplicant les mesures tècniques i organitzatives apropiades i de forma proactiva, amb l’objectiu de protegir les dades que manegen davant de qualsevol risc que n’amenaci la seguretat.

Compromís en l’exercici dels drets sobre dades personals dels usuaris establint procediments per garantir-los i facilitar-los: Transparència i Informació, Rectificació, Cancel·lació, Oposició, Supressió (Oblit), Limitació dels tractaments i Portabilitat de les dades.

Principi de proporcionalitat: La implantació de controls que mitiguin els riscos s’ha de fer buscant l’equilibri entre les mesures de seguretat i continuïtat, la naturalesa de la informació i les amenaces a què estan subjectes.

Principi de responsabilitat: Tots els empleats de l’organització són responsables de la seguretat de la informació i aquesta és extensiva a tercers que estiguin inclosos a l’abast. Així mateix, ens comprometem que tots els empleats disposin de la formació necessària per al compliment de les seves funcions i l’adequada conscienciació en seguretat de la informació, continuïtat de negoci i protecció de dades per complir eficaçment els seus compromisos en seguretat.

Principi de millora contínua: Implantant un model dinàmic de millora i actualització de l’SGSI. Entenem la gestió de la seguretat de la informació i continuïtat de negoci com un procés de millora contínua i constant adaptació als canvis operatius i tecnològics que es produeixen a l’organització i al nostre entorn.

Principi de permanent disposició i col·laboració amb les autoritats i organismes regulatius en cas de desastre o necessitat, com a part de la vocació de servei NET SUPPORT SERVICIOS INFORMÁTICOS i de la responsabilitat envers la societat en què desenvolupa la seva activitat.