INFORDISA está plenamente comprometida con la seguridad, por lo que INFORDISA considera que la información, en especial la relativa a clientes, y los diferentes sistemas asociados son activos críticos que deben ser protegidos adecuadamente para asegurar el correcto funcionamiento de la empresa.

Esta política de seguridad tiene como objetivo garantizar la Confidencialidad, Integridad, Disponibilidad, trazabilidad, autenticidad y privacidad de la información, así como el cumplimiento de las distintas normas y requisitos aplicables vigentes en cada momento, manteniendo un equilibrio entre los niveles de riesgo y el uso eficiente de los recursos mediante criterios de proporcionalidad. De hecho proporciona un marco de referencia para el establecimiento de los objetivos de seguridad de la información.

La política es de aplicación a todos los empleados, directivos, socios y administradores de INFORDISA. En aquellos sistemas de información de los clientes en los que INFORDISA tiene acceso como Proveedor de servicios Informáticos pero no tenga un control efectivo, INFORDISA promoverá principios y directrices coherentes con los establecidos en esta política.

Para poder desarrollar el compromiso expreso de la organización en la mejora continua del sistema de gestión, la Dirección establece los siguientes principios de gestión de seguridad de la información:

Seguridad como Proceso Integral y Mínimo Privilegio

La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales, jurídicos y organizativos relacionados con el sistema, por lo que se integrará en todas las operaciones de INFORDISA. Se aplicará el principio de mínimo privilegio para limitar el acceso a la información y sistemas únicamente a aquellos que necesiten ese acceso para realizar sus funciones.

Vigilancia Continua y Mejora Continua

Se llevará a cabo una vigilancia continua de las amenazas y vulnerabilidades. Se realizarán re-evaluaciones periódicas del sistema de seguridad. La integridad, actualización y mejora continua del proceso de seguridad serán prioridades constantes.

Gestión de Personal y Profesionalidad

Se establecerán políticas de gestión de personal que incluyan procedimientos de contratación seguros, formación en seguridad de la información y concienciación. La profesionalidad será un requisito clave para todo el personal que maneje información sensible.

Gestión de la Seguridad Basada en Riesgos

La gestión de la seguridad se basará en el análisis y gestión de riesgos. Se identificarán y evaluarán los riesgos de forma periódica, y se implementarán controles para mitigarlos.

Incidentes de Seguridad

Se establecerán procedimientos para la prevención, detección, reacción y recuperación de incidentes de seguridad. Se elaborarán planes de respuesta a incidentes y se realizarán simulacros regularmente.

Líneas de Defensa y Prevención Frente a Otros Sistemas Interconectados

Se implementarán líneas de defensa para protegerse contra amenazas externas. Se establecerán controles para garantizar la seguridad en sistemas interconectados.

Diferenciación de Responsabilidades y Organización

Las responsabilidades relacionadas con la seguridad se diferenciarán claramente. La organización del proceso de seguridad se diseñará para garantizar la eficacia y eficiencia en la implementación de controles.

Autorización y Control de Accesos

Los accesos a la información se autorizarán y controlarán de acuerdo al principio de mínimo privilegio. Se implementarán medidas de autenticación fuerte y se revisarán periódicamente sus privilegios.

Protección de las instalaciones

Se implementarán medidas físicas para proteger a las instalaciones que albergan sistemas de información. El acceso a áreas críticas estará restringido y se monitorizará.

Adquisición de Productos y Contratación de Servicios de Seguridad

En la adquisición de productos y contratación de servicios, se dará prioridad a quienes cumplan con estándares de seguridad reconocidos. Se establecerán requisitos de seguridad en acuerdos con proveedores y contratistas.

Protección de la Información y Continuidad de la Actividad

Se implementarán controles para proteger la información almacenada y en tránsito. Se elaborarán planes de continuidad de negocio y se realizarán pruebas periódicas.

Registro de Actividades y Detección de Código Nocivo

Se llevará un registro detallado de las actividades relacionadas con la seguridad. Se implementarán herramientas de detección de código nocivo y se establecerán procedimientos para su gestión.

Infraestructuras y Servicios Comunes

Las infraestructuras y servicios comunes se diseñarán considerando la seguridad de la información. Se implementarán controles para garantizar la seguridad en el uso compartido de recursos.

Esta Política de Seguridad se diseñará, implementará y mantendrá de acuerdo a los principios establecidos por ISO/IEC 27001:2023. La Dirección de INFORDISA se compromete a asignar los recursos necesarios y revisar periódicamente la eficacia del sistema de gestión de seguridad de la información. La mejora continua será el pilar fundamental para garantizar la seguridad en todas las operaciones de la organización.

Los puntos anteriores se encuentran desarrollados en más detalle en el documento PLS-ENS-001-Política Seguridad de la Información publicado en la intranet y en la web de INFORDISA.

16/04/2024
Dirección: Jordi Ferrando Lavila