INFORDISA està plenament compromesa amb la seguretat, es per això que INFORDISA considera que la informació, en especial la relativa a clients, i els diferents sistemes associats són actius crítics que han de ser protegits adequadament per assegurar el correcte funcionament de l’empresa.
Aquesta política de seguretat té com a objectiu garantir la Confidencialitat, Integritat, Disponibilitat, traçabilitat, autenticitat i privacitat de la informació, així com el compliment de les diferents normes i requisits aplicables vigents en cada moment, mantenint un equilibri entre els nivells de risc i l’ús eficient dels recursos mitjançant criteris de proporcionalitat. De fet, proporciona un marc de referència per a l’establiment dels objectius de seguretat de la informació.
La política és d’aplicació a tots els empleats, directius, socis i administradors d’INFORDISA. En aquells sistemes d’informació dels clients en els quals INFORDISA hi té accés com a Proveïdor de serveis Informàtics però no tingui un control efectiu, INFORDISA promourà principis i directrius coherents amb els establerts en aquesta política.
Per poder desenvolupar el compromís exprés de l’organització en la millora contínua del sistema de gestió, la Direcció estableix els següents principis de gestió de seguretat de la informació:
Seguretat com a Procés Integral i Mínim Privilegi
La seguretat s’entén com un procés integral constituït per tots els elements tècnics, humans, materials, jurídics i organitzatius relacionats amb el sistema, es per això que s’integrarà en totes les operacions d’INFORDISA. S’aplicarà el principi de mínim privilegi per limitar l’accés a la informació i sistemes únicament a aquells que necessitin aquest accés per realitzar les seves funcions.
Vigilància Contínua i Millora Contínua
Es durà a terme una vigilància contínua de les amenaces i vulnerabilitats. Es realitzaran re-avaluacions periòdiques del sistema de seguretat. La integritat, actualització i millora contínua del procés de seguretat seran prioritats constants.
Gestió de Personal i Professionalitat
S’establiran polítiques de gestió de personal que incloguin procediments de contractació segurs, formació en seguretat de la informació i conscienciació. La professionalitat serà un requisit clau per a tot el personal que manegi informació sensible.
Gestió de la Seguretat Basada en Riscos
La gestió de la seguretat es basarà en l’anàlisi i gestió de riscos. S’identificaran i avaluaran els riscos de manera periòdica, i s’implementaran controls per mitigar-los.
Incidents de Seguretat
S’establiran procediments per a la prevenció, detecció, reacció i recuperació d’incidents de seguretat. S’elaboraran plans de resposta a incidents i es realitzaran simulacres regularment.
Línies de Defensa i Prevenció Front a Altres Sistemes Interconnectats
S’implementaran línies de defensa per protegir-se contra amenaces externes. S’establiran controls per garantir la seguretat en sistemes interconnectats.
Diferenciació de Responsabilitats i Organització
Les responsabilitats relacionades amb la seguretat es diferenciaran clarament. L’organització del procés de seguretat es dissenyarà per garantir l’eficàcia i eficiència en la implementació de controls.
Autorització i Control d’Accessos
Els accessos a la informació s’autoritzaran i controlaran d’acord amb el principi de mínim privilegi. S’implementaran mesures d’autenticació forta i es revisaran periòdicament els privilegis.
Protecció de les Instal·lacions
S’implementaran mesures físiques per protegir les instal·lacions que alberguen sistemes d’informació. L’accés a àrees crítiques estarà restringit i es monitoritzarà.
Adquisició de Productes i Contractació de Serveis de Seguretat
En l’adquisició de productes i contractació de serveis, es donarà prioritat a aquells que compleixin amb estàndards de seguretat reconeguts. S’establiran requisits de seguretat en acords amb proveïdors i contractistes.
Protecció de la Informació i Continuïtat de l’Activitat
S’implementaran controls per protegir la informació emmagatzemada i en trànsit. S’elaboraran plans de continuïtat de negoci i es realitzaran proves periòdiques.
Registre d’Activitats i Detecció de Codi Nociu
Es portarà un registre detallat de les activitats relacionades amb la seguretat. S’implementaran eines de detecció de codi nociu i s’establiran procediments per a la seva gestió.
Infraestructures i Serveis Comuns
Les infraestructures i serveis comuns es dissenyaran considerant la seguretat de la informació. S’implementaran controls per garantir la seguretat en l’ús compartit de recursos.
Aquesta Política de Seguretat es dissenyarà, implementarà i mantindrà d’acord amb els principis establerts per ISO/IEC 27001:2023. La Direcció d’INFORDISA es compromet a assignar els recursos necessaris i revisar periòdicament l’eficàcia del sistema de gestió de seguretat de la informació. La millora contínua serà el pilar fonamental per garantir la seguretat en totes les operacions de l’organització.
Els punts anteriors es troben desenvolupats en mes detall en el document PLS-ENS-001-Política Seguretat de la Informació publicat a la intranet i a la web d’INFORDISA.
16/04/2024
Direcció: Jordi Ferrando Lavila