Sistema de Gestión de la Seguridad de la Información
Política revisada anualmente
OBJETIVO
El propósito de esta Política de Seguridad del Sistema de Gestión de Seguridad de la Información (en adelante SGSI) es establecer las directrices de gestión que tiene implantado Travel Compositor, para garantizar que el acceso, la utilización y la custodia de los activos de información se realizará de acuerdo con los requisitos de negocio establecidos por Travel Compositor. Estas directrices se establecen con respecto a la integridad, disponibilidad y confidencialidad de la información, respetando el marco legal vigente y cumpliendo fielmente las directrices, procedimientos y normativa de seguridad que se establezcan.
ÁMBITO DE APLICACIÓN
La Política de Seguridad de la Información del SGSI es aplicable a quienes tengan acceso a los recursos que hayan sido identificados como “activos de información” de la empresa, dentro del alcance establecido del sistema de gestión de la seguridad. Dichos requisitos de protección afectan a toda la información en soporte electrónico o soporte papel y a los sistemas de información propiedad de Travel Compositor o gestionados para la misma. El ámbito se detalla en el documento interno de Contexto.
PRINCIPIOS
La formulación de la Política de Seguridad y Privacidad de la Información del SGSI se sustenta en los siguientes principios claves de protección:
● Eficacia: Garantizar que toda la información utilizada es necesaria y útil para el desarrollo y difusión de los datos.
● Eficiencia: Asegurar que el procesamiento de la información se realice mediante una óptima utilización de los recursos humanos y materiales.
● Integridad: Asegurar que sea procesada toda la información necesaria y suficiente para la marcha de los servicios y procesos en cada uno de los sistemas informáticos y que la información no haya sido manipulada o corrompido de forma intencionada o no.
● Exactitud: Asegurar que toda la información se encuentre libre de errores y/o irregularidades de cualquier tipo.
● Disponibilidad: Garantizar que la información y la capacidad de su procesamiento manual y automática, sean resguardadas y recuperadas eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de los servicios.
● Legalidad: Asegurar que toda la información y los medios físicos que la contienen, procesen y/o transporten, cumplan con las regulaciones legales vigentes en cada ámbito.
● Confidencialidad: Garantizar que toda la información está protegida del uso no autorizado, revelaciones accidentales, violación de la privacidad y otras acciones similares de accesos de terceros no permitidos.
● Privacidad: Asegurar la seguridad en relación con la recogida, uso, conservación, divulgación y eliminación de información personal.
● Autorización: Garantizar que todos los accesos a datos y/o transacciones que los utilicen cumplan con los niveles de autorización correspondientes para su utilización y divulgación.
● Protección Física: Garantizar que todos los medios de procesamiento y/o conservación de información cuentan con medidas de protección física que eviten el acceso y/o utilización indebida por personal no autorizado.
● Responsabilidad: Garantizar que las partes interesadas son conscientes y responsables de tutelar la seguridad de los sistemas de información y de las acciones que se puedan emprender para reforzar la misma.
OBJETIVOS DEL SGSI
Los objetivos del SGSI sobre el alcance establecido son:
● Mantener y mejorar el valor de la Seguridad y Privacidad de la Información implantado en el conjunto de la Organización.
● Contribuir todas y cada una de las personas de Travel Compositor a la protección de la Seguridad y Privacidad de la Información.
● Habiendo definido el marco de gestión de la seguridad utilizando como referencia la norma ISO 27001 para establecer el sistema de gestión de la seguridad de la información y la norma ISO 27002 como conjunto de buenas prácticas para la gestión de la seguridad de la información, se establece como objetivo el compromiso de mejora continua.
● Garantizar el compromiso de Travel Compositor, con respecto a al tratamiento de datos de carácter personal y aquellos especialmente sensibles, cumplimiento los principios de la legislación sobre privacidad y protección de datos.
● Proteger la información de Travel Compositor de todas las amenazas, ya sean internas o externas, deliberadas o accidentales, con el objetivo de garantizar la continuidad del servicio ofrecido a los clientes.
POLÍTICAS NORMAS Y PROCEDIMIENTOS
Todos los empleados y colaboradores de Travel Compositor participan de forma activa en la cultura de prevención y protección de activos, derivada del SGSI. Deben para ello actuar de acuerdo con la presente política, y aquellas normas y procedimientos de seguridad, elaborados y comunicados por la entidad.
FUNCIONES Y RESPONSABILIDADES DEL SGSI
La asignación y delimitación de responsabilidades para asegurar que se implanta y satisfacen los objetivos propuestos en la presente política de seguridad y privacidad, requieren del establecimiento de unas determinadas funciones encargadas de los aspectos generales de gestión de la seguridad de la información. Para ello, Travel Compositor ha documentado las funciones y responsabilidades en materia de seguridad de la información en el documento interno de Funciones y Responsabilidades de Seguridad de la Información. Asimismo, Travel Compositor tiene formado un Comité de Seguridad de la Información, máximo órgano al que compete la seguridad de la información en Travel Compositor. Sus funciones son identificar objetivos y estrategias relacionados con la seguridad de la información, así como dirigir y controlar los procesos relacionados con la seguridad, entre otras cuestiones.
GESTIÓN DE LOS RIESGOS
Todos los activos de información dentro del alcance del SGSI, están sujetos a un análisis de riesgos con el objetivo de evaluar las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
● Al menos una vez al año
● Cuando cambien la información y/o los servicios manejados de manera significativa.
● Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.
El Responsable de la Seguridad será el encargado de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento del Comité de Seguridad de la Información.
El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
El proceso de gestión de riesgos comprenderá las siguientes fases:
● Categorización de los sistemas.
● Análisis de riesgos
● El Comité de Seguridad de la Información procederá a la selección de medidas de seguridad a aplicar que deberán de ser proporcionales a los riesgos y estar justificadas.
Travel Compositor dispone de una norma aprobada para el ciclo de gestión de riesgos, en el documento interno de Metodología del Análisis de Riesgos.
MEJORA CONTINUA
La gestión de la seguridad de la información es un proceso sujeto a permanente actualización. Los cambios en la organización, las amenazas, las tecnologías y/o la legislación son un ejemplo en los que es necesaria una mejora continua de los sistemas. Por ello, es necesario implantar un proceso permanente que comportará, entre otras acciones:
a) Revisión de la Política de Seguridad de la Información.
b) Revisión de los procesos, servicios e información y su categorización.
c) Ejecución con periodicidad anual del análisis de riesgos.
d) Realización de auditorías internas o, cuando procedan, externas
e) Revisión de las medidas de seguridad.
f) Revisión y actualización de las normas y procedimientos
DECLARACIÓN DE AUTORIDAD SOBRE LA POLÍTICA
El Comité de Seguridad de la Información tiene la autoridad para verificar el cumplimiento de la presente Política de Seguridad y Privacidad, la responsabilidad de hacer cumplir las directrices generales y actuaciones correspondientes contenidas en el mismo y la independencia para plantear acciones correctivas y preventivas necesarias para cumplir los objetivos del plan de tratamiento de riesgos y la mejora continua de la seguridad de la información.
Es responsabilidad de todas las personas y departamentos implicados en los procesos o servicios incluidos en el alcance el obligado cumplimiento de la presente Política de Seguridad y Privacidad. Para conseguir este propósito es necesaria la implicación y participación de todos los empleados de Travel Compositor.
También podrá requerir la participación de proveedores y terceros en la aplicación de las medidas de seguridad que se determinen como mínimos exigibles.
El Comité de Seguridad es responsable de la Política de Seguridad y Privacidad, y deberá realizar la revisión periódica en respuesta a los cambios en la normativa, legislación y/o requisitos contractuales, a los cambios de estrategia de negocio, o del entorno de la organización, ya sea a nivel técnico, organizativo, o en lo concerniente a las amenazas actuales y previstas para la seguridad de la información, así como por el conocimiento adquirido gracias al estudio de los eventos e incidentes que puedan haber ocurrido y al análisis de los resultados de las auditorías internas y externas realizadas. En todo caso, dicha revisión se realizará como mínimo un vez al año.
En caso de que se detecte un uso indebido que atente contra la seguridad de la empresa, contra la normativa vigente -especialmente en materia de protección de datos-, o bien que contravenga la presente Política de Seguridad, la empresa podrá tomar las medidas correctoras o sanciones disciplinarias oportunas en función de la gravedad de la infracción, así como proceder a registrar el contenido de los equipos afectados si fuere necesario, siempre respetando la legislación, y en concreto el contenido del artículo 18 del Estatuto de los Trabajadores.
