Política de seguridad de la información

SOTHIS considera la información un activo esencial para las actividades que desarrolla y que por tanto debe ser protegida. Es por esa razón que se establecen, a través de la presente política, las directrices y principios básicos de seguridad de la información, entendiendo por ello a todos aquellos factores asociados a la protección de la misma, como los sistemas que la procesan y almacenan, la infraestructura de soporte que le presta servicio, las instalaciones donde se ubican y las personas que realizan un tratamiento sobre ellas; respecto a toda amenaza que pueda afectar la integridad, disponibilidad y/o confidencialidad de la información.

Objetivos de la Seguridad de la Información

Para promover la seguridad de la información en todos los ámbitos de la organización, SOTHIS establece los siguientes objetivos generales:

  • Cumplir los requisitos legales y contractuales aplicables al desarrollo de sus funciones, en especial, y a efectos de la presente Política, en las materias relacionadas con la seguridad de la información.
  • Difundir entre todo el personal y hacer cumplir los procesos y normativa aplicables en materia de seguridad de la información, individualmente en función de sus tareas dentro de la organización.
  • Garantizar la protección de la información, mediante la correcta aplicación de medidas bajo el principio de seguridad por defecto, el correcto uso de los sistemas que la procesan que son responsabilidad de la organización, y la limitación de accesos según la necesidad de conocer de las personas.
  • Mantener el secreto respecto a la información y no divulgarla a terceros, salvo que las comunicaciones formen parte de la relación laboral y en cumplimiento de las debidas garantías de confidencialidad.

Para alcanzar dichos objetivos, desde SOTHIS se impulsarán iniciativas adaptadas y actualizadas, dentro de un marco de mejora continua, a las necesidades legales, estratégicas y contractuales de la organización, las expectativas de las partes interesadas, y los resultados de la apreciación y tratamiento del riesgo en materia de seguridad de la información.

Asimismo, la Dirección se compromete a promover estas iniciativas, otorgando los recursos necesarios y realizando el debido seguimiento para su consecución.

Marco Normativo

SOTHIS adquiere un firme compromiso con los marcos legales que regulan la actividad de la organización respecto a la seguridad de la información, tanto a nivel nacional como internacional.

La presente política se verá desarrollada por el sistema documental de seguridad de SOTHIS, siendo este accesible y de obligado cumplimiento para todos los miembros de la organización y terceros con acceso o potencial acceso a información, que presten servicios a la misma, en la medida que su labor lo requiera.

Organización y Gestión de la Seguridad

El mantenimiento y la gestión de la seguridad de la información requieren el establecimiento de una estructura organizativa comprometida y capacitada, mediante la definición de actividades y responsabilidades en materia de gestión de la seguridad de la información.

A fin de conformar esta estructura, la Dirección de SOTHIS, como responsable último de la información, designa un Comité de Seguridad de la Información responsable de alinear todas las actividades de carácter estratégico de la organización en materia de seguridad interna. Sus actividades principales tratarán lo referente a la protección de activos de la organización, la gestión y aceptación de riesgos, y la supervisión y aprobación del cuerpo documental que desarrolle los procesos de seguridad que emanen de la presente política.

Asimismo, este comité será el encargado de promover la seguridad en la organización, tratando cualquier desviación y excepción que se produzca, fomentando la participación de todos los usuarios, y proponiendo la asignación de funciones y responsabilidades en la materia.

El Comité de Seguridad estará liderado por el Responsable de Seguridad, como representante del Comité de Seguridad de la Información, garante de que la gestión de la seguridad de la información es conforme a los requisitos aplicables y de informar a la Dirección sobre los aspectos que conciernen a la seguridad de la información.

Principios de Seguridad

Tanto la gestión como el mantenimiento de la seguridad de la información de SOTHIS está basada en los siguientes principios básicos, que conforman el núcleo de las estrategias para una correcta toma de decisiones en materia de seguridad de la información:

  • Entendemos la seguridad como un proceso integral donde intervienen todos los elementos técnicos, humanos, materiales y organizativos relacionados con la protección de la información.
  • Para el desarrollo adecuado del Sistema de Gestión fomentamos la capacitación, formación y concienciación de las personas implicadas, de acuerdo con sus funciones y responsabilidades en seguridad de la información.
  • El análisis y la gestión de riesgos es parte esencial del proceso de seguridad, debiendo mantenerse actualizado permanentemente, a fin de disponer de un entorno controlado, minimizando los riesgos hasta niveles aceptables.
  • Con el fin de reducir la probabilidad de ocurrencia y los efectos de la materialización de amenazas sobre la seguridad del sistema, contemplamos medidas orientadas a su prevención, detección y corrección.
  • La estrategia de protección se basa en múltiples líneas de defensa, constituidas por medidas de naturaleza organizativa, física y lógica, establecidas en un marco de mejora continua donde se evalúan y actualizan periódicamente para adecuar su eficacia.
  • Promovemos la seguridad como función diferenciada, separando atribuciones de coordinación y supervisión, de la operación del sistema de información.

Noviembre 2019