1. Objetivo, alcance y usuarios
El propósito de esta Política la seguridad de la información de nivel nivel público es informar el objetivo, dirección, principios y reglas básicas de seguridad que se aplican en nuestra organización. Esta Política se aplica a todo el sistema de gestión de seguridad de la información (SGSI), según se define en el propio SGSI de Grupo Talentum.
Este documento es público y estará a disposición de aquellos usuarios externos a la organización que lo soliciten.
2. Terminología básica
Sobre seguridad de la información:
· Confidencialidad: característica de la información por la cual solo está disponible para personas o sistemas autorizados.
· Integridad: característica de la información por la cual solo es modificada por personas o sistemas autorizados y de una forma permitida.
· Disponibilidad: característica de la información por la cual solo pueden acceder las personas autorizadas cuando sea necesario.
· Seguridad de la información: es la preservación de la confidencialidad, integridad y disponibilidad de la información.
· Sistema de gestión de seguridad de la información: parte de los procesos generales de gestión que se encarga de planificar, implementar, mantener, revisar y mejorar la seguridad de la información.
Igualmente, para proporcionar una mejor comprensión de la protección de datos personales, definimos los principales conceptos básicos conforme a lo dispuesto en el RGPD:
· Datos personales: Información relativa a una persona física por la cual pueda determinarse su identidad.
· Tratamiento: Cualquier operación realizada sobre datos personales: obtención, acceso, intervención, transmisión, conservación y supresión.
· Interesado: Persona física sometida al tratamiento de sus datos personales.
· Fichero: Conjunto estructurado de datos personales susceptibles de tratamiento para un fin determinado.
· Responsable del tratamiento: Organización que determina los fines y los medios del tratamiento.
· Personal autorizado: Persona autorizada por el Responsable para realizar un tratamiento de datos mediante un compromiso de confidencialidad.
Los principios fundamentales para realizar un tratamiento de datos personales son:
· Licitud: lealtad y transparencia con el interesado.
· Limitación de los fines: tratados para fines determinados.
· Minimización de los datos: solo se deben obtener los datos necesarios para alcanzar los fines.
· Exactitud: actualizados.
· Limitación del plazo de conservación: guardados durante no más tiempo del necesario para conseguir los fines.
· Integridad y confidencialidad: aplicación de medidas de seguridad para la protección de los datos en todas las fases del tratamiento.
· Responsabilidad proactiva: se debe poder demostrar el cumplimiento de todos los principios de protección de datos.
3. Gestión de la seguridad de la información
3.1. Objetivos y medición
Los objetivos generales para el sistema de gestión de seguridad de la información son los siguientes:
· Cumplir la legislación española y europea en materia de privacidad.
· Proteger la información como principal activo del Grupo.
· Reducir el impacto derivado de potenciales incidentes.
· Posicionar Grupo Talentum como empresa comprometida con la gestión responsable de la información que ofrece plenas garantías de ello.
Estas metas están en línea con los objetivos comerciales, con la estrategia y los planes de negocio de la organización. La Dirección General es la responsable de establecer, revisar y actualizar estos objetivos generales del SGSI.
Los objetivos para controles individuales de seguridad o grupos de controles son propuestos por el COMITÉ DE SEGURIDAD DE LA INFORMACION y finalmente aprobados por la Dirección General e incorporados en la Declaración de aplicabilidad.
Todos los objetivos deben ser revisados al menos una vez al año.
Grupo Talentum medirá el cumplimiento de todos los objetivos a través de un ciclo del tipo PDCA:
· En la fase de Planificación, debe establecer los objetivos.
· En la fase Hacer, debe averiguar cómo medir y hasta qué punto se logran sus objetivos.
· En la fase de Comprobación, debe iniciar la medición real y, finalmente,
· En la fase Actuar, una vez que se constate que no ha logrado alguno de los objetivos, se planificarán las mejoras oportunas para intentar cumplir los objetivos no alcanzados.
El CISO es el responsable de aplicar el método para medir el cumplimiento de los objetivos. La medición se realizará al menos una vez al año y el COMITÉ DE SEGURIDAD DE LA INFORMACION analizará y evaluará los resultados y los reportará para su revisión por la Dirección. El CISO es responsable de registrar los detalles sobre los métodos de medición, periodicidades y resultados en el Informe de Medición.
3.2. Requisitos para la seguridad de la información
La organización utilizará los medios necesarios para garantizar la Confidencialidad, Integridad y Disponibilidad de la información. Además, esta política y todo el SGSI, deben cumplir los requisitos legales y normativos importantes para la organización en el ámbito de la seguridad de la información, protección de datos personales, así como también con las obligaciones contractuales
3.3. Organización de la información y medidas de seguridad
La organización ha implementado medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado a los riesgos que pueda tener el tratamiento a consecuencia de la destrucción accidental o ilícita de datos, la pérdida, alteración o comunicación no autorizada y el acceso a los datos cuando son transmitidos, conservados u objeto de algún otro tipo de tratamiento.
El personal deberá velar por la seguridad de los datos tratados por la organización y comunicará al Responsable cualquier operación de tratamiento que pueda suponer un riesgo que afecte la protección de datos o los intereses y libertades de los interesados.
Cualquier diseño de una nueva operación de tratamiento o actualización de una operación existente deberá garantizar antes de su implantación, la protección de datos personales y el ejercicio de los derechos de los interesados en todas las fases del tratamiento: obtención, acceso, intervención, transmisión, conservación y supresión.
El personal deberá actuar en todo momento conforme a las instrucciones detalladas en el acuerdo de confidencialidad suscrito con la organización y las establecidas en esta Política de seguridad. Para ello se establecen las siguientes medidas de protección de datos que el personal está obligado a cumplir expresamente:
Conservación de los datos: Se deberán conservar los datos en el mobiliario y departamento destinados a tal fin. Para tratamientos automatizados se guardarán los archivos en los soportes, carpetas o directorio de red indicados por el responsable de seguridad.
Se deberán clasificar los datos de manera que se puedan ejercer los derechos de los interesados: acceso, rectificación, supresión y portabilidad de los datos y limitación u oposición al tratamiento.
No está permitido conservar datos en el escritorio físico o digital. Solo se permite su tratamiento temporal en dicho escritorio para realizar las operaciones que lo precisen debiendo conservarse en el lugar apropiado al término de la jornada laboral.
Acceso a la información: Se deberán aplicar los mecanismos de acceso restringido a la información que haya implementado la organización, y salvaguardar las claves de acceso de toda divulgación o comunicación a otras personas.
Cada persona solo está autorizada a acceder a los recursos que sean necesarios para el desarrollo y cumplimiento de sus funciones.
Se restringirá el acceso a los equipos informáticos mediante procedimientos que puedan identificar y autenticar la persona que accede a los mismos. Los nombres de usuario y contraseña tendrán la consideración de datos personales intransferibles.
Procesamiento de datos: Los soportes documentales e informáticos deberán estar dispuestos de tal forma que no sean accesibles a personas no autorizadas.
Si una persona abandona su puesto de trabajo temporalmente, deberá ocultar los documentos y bloquear el ordenador, de modo que se impida la visualización de la información con la que estaba trabajando.
Cuando se utilicen impresoras o fotocopiadoras, después de la impresión de trabajos con información de carácter personal, se debe recoger de manera inmediata, o imprimir de forma bloqueada, asegurándose de no dejar documentos impresos en la bandeja de salida.
Transporte de soportes: El transporte de soportes que contengan datos personales deberá realizarse únicamente por personal autorizado o empresas externas contratadas para tal fin por el Responsable del tratamiento.
Eliminación de documentos: Cualquier documento físico o soporte digital que quiera ser eliminado y que incluya datos personales, debe ser destruido con la destructora o retirado por una empresa homologada de destrucción de documentos.
Copia de seguridad y recuperación de datos: El personal deberá almacenar toda la información tratada en el directorio de red correspondiente indicado por el Responsable de seguridad, lo que permitirá que a esta información se le apliquen las medidas de seguridad existentes y que se someta a los procedimientos de copias de seguridad aplicados por la organización.
Protección de datos personales: Se deberán aplicar las medidas de protección de datos establecidas por la organización relativas a la seguridad del tratamiento como pueden ser la seudonimización o cifrado de datos o advertencias de intrusión como antivirus, antispam, etc.
Gestión de incidencias: Se considera una incidencia cualquier violación de la seguridad que ocasione la destrucción accidental o ilícita, pérdida, alteración, o el acceso o comunicación no autorizados de datos personales.
Incidencias: El personal tiene la obligación de notificar sin demora injustificada, cualquier incidencia de la que tenga conocimiento al Responsable de seguridad para su conocimiento y para la aplicación de medidas correctivas para remediar y mitigar los efectos que hubiera podido ocasionar. La persona que notifica la incidencia deberá documentarla con una descripción detallada de la misma y la fecha y hora en que se ha producido o se ha tenido conocimiento de ella.
El conocimiento y no notificación de una incidencia por parte del personal se considerará una falta contra la seguridad de los datos y podrá suponer el inicio de acciones legales, así como la reclamación de las indemnizaciones, sanciones y daños o perjuicios que el Responsable se vea obligado a atender a consecuencia de dicho incumplimiento.
3.4. Controles de seguridad de la información
El proceso de escoger los controles (protección) está definido en la metodología de evaluación y tratamiento de riesgos y se detallan en la Declaración de aplicabilidad.
3.5. Continuidad de negocio
La Gestión de la continuidad de negocio está reglamentada en la Política de gestión de la continuidad de negocio.
3.6. Responsabilidades
Las responsabilidades para el SGSI son las siguientes:
- La Dirección General es la responsable de garantizar que el SGSI sea implementado y mantenido de acuerdo con esta Política y de garantizar que todos los recursos necesarios estén disponibles.
- El CISO es el responsable de la coordinación operativa del SGSI, como también de informar su desempeño.
- El COMITÉ DE SEGURIDAD DE LA INFORMACION debe revisar el SGSI al menos una vez por año o cada vez que se produzca una modificación significativa, y debe elaborar actas de las reuniones. El objetivo de las verificaciones por parte de la Dirección General es establecer la conveniencia, adecuación y eficacia del SGSI.
- La Dirección General implementará programas de formación y concienciación de empleados sobre seguridad de la información.
- La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del propietario de cada activo.
- Todos los incidentes o debilidades de seguridad deben ser informados al responsable de seguridad de la información (CISO) sin demora injustificada.
- La Dirección General definirá qué información relacionada con la seguridad de la información será comunicada, a qué parte interesada (tanto interna como externa), por quién y cuándo.
- La Dirección General, auxiliada por el CISO, el DPO y el responsable de RRHH, es la responsable de adoptar e implementar el plan de formación y concienciación, que corresponde a todas las personas que cumplen una función en la gestión de la seguridad de la información, con la colaboración de los responsables de cada área o departamento. Esta formación debe ayudar a capacitar a los empleados, a aumentar la concienciación sobre seguridad de la información y a realizar un seguimiento de sus conocimientos.
3.7. Comunicación de la Política
El CISO debe asegurarse de que esta política se publique en los órganos de comunicación adecuados del Grupo, tanto internos como externos y, al menos, en la web corporativa.
El responsable de RRHH debe asegurarse de que todos los empleados de Grupo Talentum, como también los participantes externos correspondientes, estén familiarizados con esta Política.
4. Apoyo para la implementación del SGSI
A través del presente, la Dirección General declara que en la implementación y mejora continua del SGSI se contará con el apoyo y los recursos adecuados para lograr todos los objetivos establecidos en esta Política, como también para cumplir con todos los requisitos identificados.
5. Validez y gestión de documentos
Este documento tiene una validez anual. El propietario de este documento lo debe verificar y si es necesario actualizar, por lo menos una vez al año. Al evaluar la efectividad y adecuación de este documento, será necesario tener en cuenta los criterios establecidos en el plan del ciclo PDCA y, una vez que se constate que no ha logrado alguno de los objetivos, se planificarán las mejoras oportunas para intentar cumplir los objetivos no alcanzados.