Política de Seguridad de la Información

El objetivo de esta política es garantizar la seguridad de la información cuando se usen dispositivos móviles de informática móvil fuera de las instalaciones de AVANTIC. Los Consejeros Delegados comunica a todos los trabajadores que utilicen dispositivos móviles como portátiles, teléfonos móviles, etc. fuera de las instalaciones de la empresa serán los máximos responsables de su seguridad.

AVANTIC, busca una línea de crecimiento constante, utilizando para esto la mejora continua que proporciona la implementación de un Sistema de Gestión de Seguridad de la Información basado en la Norma UNE ISO/IEC 27001:2005, encontrando sus fundamentos en:

  • Priorizar la satisfacción y el cumplimiento de los requisitos del cliente, interpretando sus necesidades y disponiendo de los recursos necesarios.
  • Promover el compromiso con la seguridad de la información, facilitando la participación y valorando todos los aportes innovadores del personal.
  • Mejorar continuamente la eficacia del Sistema de Gestión de Seguridad de la Información, con el objeto de aumentar nuestra competitividad en el mercado local e internacional, utilizando herramientas de control de procesos, auditorías y análisis de riesgos.
  • Desarrollar las actividades de nuestra empresa, bajo los requisitos legales o reglamentarios y de las obligaciones de seguridad contractuales.

Podemos definir la Seguridad de la Información como un conjunto de medidas, controles, procedimientos y acciones destinados a cumplir con los tres aspectos básicos esenciales para prestar un buen servicio, el cumplimiento de la legalidad vigente y la imagen de la propia entidad:

  • Confidencialidad: la información debe ser conocida exclusivamente por las personas autorizadas, en el momento y forma prevista.
  • Integridad: la información tiene que ser completa, exacta y válida, siendo su contenido el previsto de acuerdo con unos procesos predeterminados, autorizados y controlados.
  • Disponibilidad: la información debe estar accesible y ser utilizable por los usuarios autorizados en todo momento, debiendo estar garantizada su propia persistencia ante cualquier eventualidad.

La disponibilidad, integridad y confidencialidad de la información son vitales para el mantenimiento de nuestra competitividad, rentabilidad, imagen social y el estricto cumplimiento de la legislación vigente.

La Seguridad de la Información se logra implementando un conjunto adecuado de controles, que abarcan políticas, prácticas, procedimientos, estructuras organizacionales y funciones de software.

Con la finalidad de establecer los controles apropiados, AVANTIC realiza una evaluación de riesgos basado en el hecho de que cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía. Una vez determinado que una amenaza concreta puede perjudicar a un activo, hay que estimar como de vulnerable es el activo, en función de:

  • EL IMPACTO: medida del daño sobre el activo derivado de la materialización de una amenaza. El impacto debe cuantificarse como una cantidad numérica para reflejar el daño si una determinada amenaza explota exitosamente una vulnerabilidad. El daño no está relacionado con la probabilidad; este valor nos permite cuantificar sobre una escala la seriedad de un riesgo independientemente de su probabilidad.
  • LA PROBABILIDAD DEL RIESGO: medida del daño probable sobre un activo, es decir, la expectativa o probabilidad de que se materialice la amenaza.

En función de estos dos aspectos se establece un riesgo para cada activo y riesgo asociado, definiéndose intervalos que clasifican el riesgo al que está sometido el activo en cuestión como Asumible, apreciable, grave o crítico.

A partir de dicha evaluación, AVANTIC establece una serie de controles con el fin de contener las posibles incidencias que puedan afectar a la seguridad de los Sistemas de información. Se establece así un método de gestión y registro de incidencias referentes a los Sistemas de Gestión de la Seguridad de la Información (SGSI), y al mismo tiempo la empresa se compromete a la continua revisión de dichos controles para garantizar el cumplimiento de requisitos en materia de seguridad, obteniendo así el máximo rendimiento de sus activos.

Se definen también una serie de políticas de gestión, con el fin garantizar el correcto acceso y manipulación de la información:

  • Política de Uso aceptable de los Activos, que establece una serie de reglas para el uso aceptable de la información y los activos asociados con los recursos para el procesado de la información, aplicables tanto a empleados de AVANTIC, proveedores, subcontratas, terceros.
  • Política de teletrabajo y comunicaciones móviles: el objetivo de esta política es garantizar la seguridad de la información cuando se usen dispositivos móviles de informática móvil fuera de las instalaciones de AVANTIC. Se comunica a todos los trabajadores que utilicen dispositivos móviles, como portátiles, teléfonos móviles, etc. fuera de las instalaciones de la empresa, siendo los máximos responsables de su seguridad.
  • Política sobre el proceso disciplinario: esta política es una orientación a cerca de cómo deben desarrollarse los procesos disciplinarios a trabajadores por faltas a la ética profesional, al correcto ejercicio de su profesión y/o cuando no satisfagan o cumplan los objetivos y reglas delineadas en materia de calidad y seguridad.

Se establece, así mismo, una metodología de copia y almacenamiento de información relevante para la empresa. Este almacenamiento se realiza bajo la responsabilidad de personal cualificado encargado de preservar y mantener en perfecto estado dichas copias de respaldo, salvaguardando así nuestra competitividad y autonomía.

En cuanto a la gestión de accesos a nuestros sistemas, garantizamos un inmejorable servicio a sus usuarios mediante la implantación de un sistema de identificación y autenticación, el cual no solo restringe el acceso a terceras personas, si no que facilita el trabajo de nuestros empleados en un entorno completamente seguro.

Como parte del Manual SGSI se definen las normas de actuación que aseguran un adecuado equilibrio entre las necesidades de los usuarios, las exigencias de seguridad y el respeto a las leyes vigentes.

La aplicación de estas normas de actuación o directrices permitirá garantizar la protección de la información y forman parte del conjunto de medidas, controles y procedimientos destinados a cumplir con los tres aspectos básicos que son esenciales para el funcionamiento de AVANTIC, el cumplimiento de la legalidad vigente y la propia imagen: confidencialidad, integridad y disponibilidad.

Todo el personal de AVANTIC deberá cumplir las directrices, normas y procedimientos que forman parte del Sistema de Gestión, y como consecuencia de ello asumirá el deber de colaboración con esta organización en el interés de que no se produzcan alteraciones o violaciones de estas reglas.

Todas las personas que prestan sus servicios en AVANTIC deben conocer y asumir las obligaciones respecto del uso correcto de los recursos informáticos. El incumplimiento de estas obligaciones por parte del personal podrá dar lugar a responsabilidad disciplinaria, y al ejercicio de los procedimientos legales por la empresa para su exigencia.

 

 

En La Laguna a 10 de marzo de 2011.

Los Consejeros Delegados de AVANTIC