La Dirección de Exceltic identifica y protege sus activos de información y la de sus Clientes, asegurando la continuidad interna del negocio y la continuidad en los servicios prestados a nuestros Clientes.
Nuestra estrategia está basada en la prevención: reducir al mínimo el riesgo de daño mediante la prevención de incidentes de seguridad, así como reducir su impacto potencial cuando sean inevitables, tanto si se producen de manera deliberada como accidental.
Objetivo
La información debe ser siempre protegida, cualquiera que sea su forma de ser compartida, comunicada o almacenada. Se deberá preservar y garantizar:
- Su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información, evitando la destrucción, la divulgación, modificación y utilización no autorizada, especialmente aquella relacionada con los datos de carácter personal de los empleados clientes y proveedores.
- Su integridad, asegurando que la información y sus métodos de proceso son exactos y completos, en base a su clasificación por su uso (interno/externo).
- Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran y poder cumplir los tiempos relevantes del desarrollo de los procesos críticos de negocio y los plazos acordados de los servicios prestados.
- Su cumplimiento normativo, legislaciones y reglamentaciones vigentes especialmente la ley de protección de datos.
Principios de Seguridad:
- Se establecerán anualmente objetivos con relación a la Seguridad de la Información.
- La organización utilizará una metodología de gestión del riesgo que permita analizar, evaluar, tratar y controlar regularmente el grado de exposición de nuestros activos importantes frente a aquellas amenazas que puedan aprovechar ciertas vulnerabilidades e introduzcan impactos adversos en nuestras actividades internas y en la ejecución de los servicios prestados a nuestros clientes.
- Se establecerán los controles correspondientes, en virtud de las necesidades que en materia de riesgos surjan del proceso de análisis de riesgos manejado.
- Se establecerán los medios necesarios para garantizar la continuidad de negocio y los planes de continuidad serán mantenidos, probados y actualizados al menos con carácter anual.
- Todo el personal será informado y responsable de la seguridad de la información, según sea relevante para el desempeño de su trabajo. La capacitación en materia de seguridad se cumplirá y se actualiza suficientemente para todos los empleados.
- Las situaciones que puedan exponer a la organización a la violación de las leyes y normas legales no serán toleradas. Todos los eventos que tengan relación con la seguridad de la información, reales como supuestos, se comunicarán al responsable de seguridad y serán investigados.
- Se cumplirá con los requisitos del negocio, legales o reglamentarios y las obligaciones contractuales de seguridad.
- Se revisará regularmente todo el Sistema de Gestión, incluyendo esta política, en intervalos planificados o si ocurren cambios significativos, para asegurar la continua idoneidad, eficacia y efectividad del mismo.
- La compañía se compromete a realizar una mejora continua de la gestión de la seguridad de la información, identificando y estableciendo oportunidades de mejor, así como acciones correctivas que mitiguen las deficiencias encontradas.
Responsabilidades
- El equipo directivo es el responsable de asegurar que la seguridad de la información se gestiona adecuadamente en toda la organización.
- Cada gerente es responsable de garantizar que las personas que trabajan bajo su control protegen la información de acuerdo con las normas establecidas por la organización.
- El responsable de seguridad asesora al equipo directivo, proporciona apoyo especializado al personal de la organización y garantiza que los informes sobre la situación de la seguridad de la información están disponibles. Además protege los sistemas de comunicación y la red interna, dotando a los sistemas de seguridad de los elementos necesarios para proteger la información.
- Cada miembro del personal tiene la responsabilidad de mantener la seguridad de información dentro de las actividades relacionadas con su trabajo, así como no divulgar, ni utilizar directamente la información a la que tengan acceso durante su relación laboral con EXCELTIC.
- Se asegurará que todos los empleados o terceros contratados entiendan sus responsabilidades y realicen correctamente las funciones que les corresponda de cara a velar por la Seguridad de la Información de Exceltic.
- Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad.
- El cumplimiento de esta política y de cualquier procedimiento o documentación incluida dentro del del SGI, es obligatorio y atañe a todo el personal de la organización. Las visitas y personal externo que accedan a nuestras instalaciones no están exentas del cumplimiento de las obligaciones indiciadas, y el personal interno observará su cumplimiento.
En Madrid, a 16 de diciembre de 2019
D. José Antonio Suárez y D. Eduardo Requejo
Dirección General de EXCELTIC
EXCELTIC S.L. posee el certificado de Sistema de Gestión de Seguridad de la Información bajo la Norma UNE-EN ISO 27001:2013 para la actividad de: Servicios de Ingeniería de Asistencia Técnica y Desarrollo de Proyectos Tecnológicos
Ultima modificación: 10 de diciembre 2021