La Fundación Andaltec I+D+i (en adelante “Andaltec”, o “nosotros”) tiene un serio compromiso con la seguridad de la información que tanto nuestros clientes como proveedores nos confían.
Esta Política de seguridad de la información trata de proteger los tres aspectos fundamentales de la información que son:
Integridad: Garantizando que la información o el servicio prestado son los correctos.
Confidencialidad: Garantizando que solo el personal autorizado tiene acceso a los datos o los servicios.
Disponibilidad: Garantizando que el acceso a los datos está disponible de acuerdo a los requerimientos.
La Dirección de Andaltec, consciente de la importancia que la seguridad en el tratamiento
de la información tiene para todo el Grupo, los clientes, los proveedores y, en general,
todas las instituciones con las que se mantiene relación, ha considerado fundamental
establecer el tipo de tratamiento que debe darse a la información que gestiona, durante
todo su ciclo de vida y con el fin de garantizar su confidencialidad, integridad,
disponibilidad y auditabilidad, cumpliendo de manera escrupulosa con todos los requisitos
legales que sean en cada momento de aplicación mediante el Manual de Gestión de
Seguridad de la Información de Andaltec.
En función de los riesgos detectados, la Dirección se compromete a facilitar los recursos
necesarios para que la organización implante los controles que minimicen los mismos y que
considere convenientes, asumiendo todos aquellos riesgos residuales.
El ámbito de aplicación de este Manual de Seguridad abarcará a cualquier persona o
empresa que acceda a cualquiera de los sistemas de información de Andaltec.
Todas las partes implicadas se comprometen a cumplir y a hacer cumplir todos los
principios de seguridad que la Dirección ha establecido, con el fin de garantizar la
protección de la información y la continuidad del negocio en todo momento.
El incumplimiento del Manual de Gestión de Seguridad de la Información podrá ser
considerado como una infracción del deber de buena fe, sancionable con las medidas
disciplinarias previstas en la Legislación y Normativa Laboral vigente en cada momento, y
sin perjuicio del resarcimiento por daños y perjuicios que les pueda reclamar a Andaltec.
En base al Manual de Gestión de Seguridad de la Información de Andaltec y con la
finalidad de cumplir sus objetivos, se fijarán las medidas concretas de índole técnica y
organizativa necesarias a aplicar en los Sistemas de Información y cualquier recurso que
contenga información de Andaltec. Estas medidas se desarrollarán en diferentes
documentos que a continuación se especifican:
Procedimientos
– Objetivo: Definir las reglas, los requerimientos y normas de comportamiento
personal en la actuación ante la Información.
-Responsable de su redactado: El Responsable de Seguridad de la Información.
-Ámbito de aplicación: Andaltec, y terceros que le dan soporte.
Aprobación: El Comité de Seguridad de la Información o el Comité ejecutivo como
órgano superior.
-Difusión: Restringida al personal interno, así como a las personas de otras entidades
responsables de implantar las medidas de seguridad establecidas en los mismos.
Uso de los activos
– Objetivo: Definir las reglas y normas de comportamiento personal en la actuación
ante los activos de la Información.
– Responsable de su redactado: El Responsable de Seguridad de la Información de
Andaltec.
– Ámbito de aplicación: Andaltec y terceros que le dan soporte.
– Aprobación: El Comité de Seguridad de la Información o el Comité ejecutivo como
órgano superior, mediante de la aprobación del Documento técnico Gestión de los
activos.
– Difusión: Restringida al personal interno.
Guías
– Objetivo: Definir los controles que son de aplicación para determinadas
circunstancias o tecnologías, derivan de los reglamentos pudiéndose llegar a un nivel
de detalle superior a éstos y recoger contenidos de varios de ellos.
– Responsable de su redactado: El Responsable de Seguridad de la Información
– Ámbito de aplicación: Andaltec y terceros que le dan soporte.
– Aprobación: Comité de Seguridad de la Información.
– Difusión: Restringida a los responsables de llevar a cabo la implantación.
Documentos Técnicos
– Objetivo: Definir los métodos de trabajo, circuitos administrativos y herramientas
para la implantación de los requerimientos definidos en los correspondientes
reglamentos.
– Responsable de su redactado: Centros y/o empresas implicados.
– Ámbito de aplicación: Cada Centro y/o empresa que deba implantar los
requerimientos definidos por los procedimientos.
– Aprobación: Comité de Seguridad de la Información.
Documentos Técnicos
– Objetivo: Definir los métodos de trabajo, circuitos administrativos y herramientas
para la implantación de los requerimientos definidos en los correspondientes
reglamentos.
– Responsable de su redactado: Centros y/o empresas implicados.
– Ámbito de aplicación: Cada Centro y/o empresa que deba implantar los
requerimientos definidos por los procedimientos.
– Aprobación: Comité de Seguridad de la Información.
Es responsabilidad del comité de seguridad de la información la definición, mantenimiento y actualización de este manual de gestión de seguridad.
El departamento de IT de Andaltec implementará las medidas necesarias para garantizar el
cumplimiento de los estándares técnicos de seguridad definidos en el presente Manual.
Comité de la Seguridad de la Información
En función de las bases establecidas en el presente manual, se debe establecer el Comité de
Seguridad de la Información de Andaltec con potestad para regular las directrices de
seguridad de la información a través de los procedimientos de seguridad.
La responsabilidad de coordinar y supervisar la correcta aplicación de las directrices
marcadas por el Manual y los Procedimientos debe recaer en Seguridad de la Información
de Andaltec.
La responsabilidad de aplicar las directrices marcadas por el Manual y los Procedimientos
debe recaer en la Dirección de Andaltec.
Concienciación en seguridad de la información
Los usuarios deben ser conscientes de la importancia de la seguridad en los sistemas de
información de Andaltec. La seguridad en los sistemas depende, en parte, de que los
usuarios sepan lo que se espera de ellos y cuáles son sus funciones y responsabilidades.
Éstos deben conocer las medidas de seguridad de la información implantadas y también las
consecuencias que acarrea su incumplimiento. Para ello, se establece lo siguiente:
En el manual de gestión de seguridad de la información se recoge una lista con todos las instrucciones de seguridad que se aplican a nuestro sistema de información.