Seguridad de la Información
1.1 OBJETIVOS DE SEGURIDAD
- Asegurar la confidencialidad, integridad y disponibilidad de la información.
- Cumplir todos los requisitos legales aplicables a la organización.
- Elaborar un plan de continuidad que permita recuperarse ante un desastre en el menor tiempo posible.
- Cumplir los requisitos aplicables a la Seguridad de la Información y el compromiso de Mejora Continua del Sistema de Gestión de la Seguridad de la Información.
- Formar y concienciar a todos los empleados en materia de seguridad de la información.
- Registrar y gestionar adecuadamente todos los incidentes de seguridad ocurridos.
- Informar a todos los empleados de sus funciones y obligaciones de seguridad y la responsabilidad de cumplirlas.
- Realizar revisiones periódicas con el objetivo de mejorar de forma continua la seguridad de la información de la organización.
- Protección de los datos personales de conformidad a la normativa vigente en Protección de Datos Personales y los requerimientos establecidos en la norma ISO-27018
1.2 PLANIFICACIÓN
Las actuaciones a llevar a cabo por GIGAS HOSTING para cumplir con los objetivos de seguridad pasan por la implantación, operación y mantenimiento del Sistema de Gestión de la Seguridad de la Información (SGSI), que en todo momento está alineado con esta política.
De cara a garantizar una correcta gestión de la seguridad, GIGAS HOSTING realiza un estudio de la seguridad de la organización a través de un análisis de riesgos y el establecimiento de un plan de tratamiento de riesgos para aquellos riesgos no aceptados por el Comité de Seguridad de la organización.
El procedimiento para llevar a cabo el análisis de riesgos se encuentra documentado en el documento Metodología de Análisis de Riesgos (documento privado), donde se establecen los requisitos para evaluar las distintas amenazas a las que están expuestos.
1.3 IMPLANTACIÓN
Una vez que se ha realizado la evaluación de los riesgos de seguridad y en función de los resultados obtenidos en la fase de planificación, es tarea del Responsable de Seguridad con el apoyo del Comité, implantar determinados controles de seguridad para aquellas amenazas que tienen un nivel de riesgo no asumido por la organización, además de operar los procedimientos del sistema de gestión para dar cumplimiento a las exigencias del proceso.
1.4 REVISIÓN
La política de seguridad de la información y la evaluación de riesgos son revisados regularmente a intervalos planificados o si ocurren cambios significativos para asegurar la continua idoneidad, eficacia y efectividad de la misma. De forma genérica son revisados anualmente mediante la realización de la auditoría interna del SGSI o la revisión del sistema por parte de Dirección, la cual, juega un importante papel realizando un profundo análisis del sistema y detectando posibles mejoras y deficiencias.
1.5 MEJORA
Las mejoras de la política de seguridad de la información y del SGSI son establecidas bien durante las fases de revisión o bien en base a aportaciones que se consideren interesantes tanto del personal de la organización como de personal externo.
Los resultados obtenidos en base a la realización de la auditoría interna, son revisados por el Responsable de Seguridad y elevados a Comité, donde se establecerán oportunidades de mejora del sistema.
Todo el SGSI se enmarca dentro del ciclo de Demming (ciclo PDCA), basado en la planificación de actividades, su implantación y operación, su revisión y su posterior mejora. Todo ello aplicado a la seguridad de la información.
1.6 RESPONSABILIDADES DE LOS USUARIOS
Los usuarios de los sistemas de información deberán esforzarse en hacer promover un uso eficiente de los mismos a fin de evitar tráfico innecesario en la red.
Será responsabilidad de los propios usuarios la correcta custodia de los activos que tengan en posesión para el desempeño de sus labores contractuales.
No divulgar, ni utilizar directamente la información a la que tengan acceso durante su relación laboral con GIGAS HOSTING Todos los compromisos deberán mantenerse, incluso después de extinguida la relación laboral con la empresa.
Asegurar que todos los empleados y terceros entienden sus responsabilidades y son adecuados para llevar a cabo las funciones que les corresponden, de cara a reducir el riesgo de robo, fraude o uso indebido de los recursos puestos a su disposición.
Se prevendrá todo tipo de acceso físico no autorizado y se tomarán medidas de seguridad para evitar pérdidas, daños, robos o circunstancias que pongan en peligro los activos o que puedan provocar la interrupción de las actividades de GIGAS HOSTING. Los usuarios de internet y correo electrónico deberán hacer un uso eficiente de las redes, así como, preservar la confidencialidad e integridad de la información transmitida a través de estos medios.
Se controlará el acceso a los sistemas de información de la organización para que solo sea realizado por personal autorizado y en las condiciones de seguridad que la organización ha decidido operar.
Toda incidencia de seguridad deberá comunicarse a través del Help Desk de GIGAS HOSTING, a la dirección soporte@gigas.com
Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas de información de GIGAS HOSTING.