Política de seguretat

Resume de la política

La informació ha de ser sempre protegida, qualsevol que sigui la seva forma de ser compartida, comunicada o emmagatzemada.

Introducció

La información pot existir en diverses formes: impresa o escrita en paper, emmagatzemada electrònicament, transmesa per correu o per mitjans electrònics, mostrada en projeccions o en forma oral en les converses.

La seguretat de la informació és la protecció de la información contra una àmplia gamma d'amenaces amb l'objectiu de garantir la continuitat del negoci, minimizar els riscos empresarials i maximitzar el retorn de les inversions i oportunitats de negoci.

Abast

Aquesta política recolza la política general del Sistema de Gestió de Seguretat de la Informació de MOTTO DIGITAL AGENCY.

Aquesta política és de consideració per part de tots els membres de MOTTO DIGITAL AGENCY.

Objectius de seguretat de la informació

Comprendre i tractar els riscos operacionals i estratègics en seguretat de la informació perquè es mantinguin en nivells acceptables per a l'organització.

La protecció de la confidencialitat de la informació relacionada amb els clients i amb els plans de desenvolupament.

La conservació de la integritat dels registres.

Els serveis web d'accés públic i les xarxes internes compleixen amb les especificacions de disponibilitat requerides.

Entendre i donar cobertura a les necessitats de totes les parts interessades.

Principis de seguretat de la informació

MOTTO DIGITAL AGENCY afronta la presa de riescos i accepta aquells que, basant-se en la informació disponible, són comprensibles, controlats i tractats quan és necessari. Els detalls de la metodologia adoptada per a l'avaluació del risc i el seu tractament estan descrits en la Política de Seguretat de la Informació.

Tot l'equip de MOTTO DIGITAL AGENCY està informat i és responsable de la seguretat de la informació, segons sigui rellevant pel desenvolupament de la seva feina.

Es disposarà de finançament per a la gestió operativa dels controls relacionats amb la seguretat de la informació i en els processos de gestió per a la seva implantació i manteniment.

Es tindran en compte aquelles possibilitats de frau relacionades amb l'ús abusiu dels sistemes d'informació dins de la gestió global dels sistemes d'informació.

Es faran disponibles informes regulars amb informació de la situació de la seguretat.

Els riscos en seguretat de la informació seran objecte de seguiment i s'adoptaran mesures quan existeixin canvis que impliquin un nivell de risc no acceptable.

Els criteris per a la classificació i l'acceptació del risc estan referenciats en la Política de Seguretat de la Informació.

Les situacions que poden exposar a l'organització a la violació de les lleis i normes legals no seran tolerades.

Responsabilitats

La Dirección de MOTTO DIGITAL AGENCY es responsabilitza d'assegurar que la seguretat de la informació es gestiona adequadament en tota l'organització.

Cada gerent és responsable de garantir que les persones que treballen sota el seu control protegeixen la informació d'acord amb les normes establertes per l'organització.

El responsable de seguretat assesora l'equip directiu, proporciona suport al personal de l'organització i garanteix que els informes sobre la situació de la seguretat de la informació estiguin disponibles.

Cada membre del personal té la responsabilitat de mantenir la seguretat de la informació dins de les activitats relacionades amb la seva feina.

Indicadors clau

Els incidents en seguretat de la informació no es traduiran en costos greus i inesperats, o en una greu perturbació dels serveis i activitats comercials.

Les pèrdues per frau seran detectades i es mantindran dins d'uns nivells acceptables.

L'acceptació del client dels productes o serveis no es veurà afectada negativament per aspectes relacionats amb la seguretat de la informació.

Polítiques relacionades

A continuació, es detallen aquelles polítiques que proporcionen principis i guia en aspectes específics de la seguretat de la informació:


  1. Política de Seguridad de la Informació.

  2. Política de Classificació de la informació.

  3. Política d'Outsources.

  4. Política de claus i control d'accessos.

  5. Política de Pantalla neta i escriptori net.

  6. Política d'eliminació i destrucció.

  7. Política de còpies de seguretat i de transferència d'informació.

  8. Política de gestió d'incidents de seguretat.

  9. Política d'ús acceptable d'actius.

  10. Política de seguretat física i accessos.

  11. Política de Protecció de Dades i Privacitat.

  12. Política de Desenvolupament Segur.

  13. Política de Controls Criptogràfics.

  14. Política de Recuperació enfront desastres.



En un nivell inferior, la política de seguretat de la informació ha de ser recolzada per altres normes o procediments sobre temes específics que obliguen encara més l'aplicació dels controls de seguretat de la informació i s'estructuren normalment per tractar les necessitats de determinats grups dins d'una organització o per cobrir certs temes.

Exemples d'aquests temss de política inclouen:



I MÉS DIRECTAMENT DIRIGIDES A USUARIS:



Aquestes polítiques/normes/procediments han de ser comunicades als empleats i parts externes interessades. La necessitat de normes internes de seguretat de la informació varia depenent de les organitzacions.

Quan algunes de les normes o polítiques de seguretat de la informació es distribueixen fora de l'organització, s'haurà d'anar en compte de no revelar informació confidencial. Algunes organitzacions utilitzen altres termes per a aquests documents de política, como ara: normes, directrius o regles.

Totes aquestes polítiques han de servir de suport per a la identificació de riscos mitjançant la disposició de controls en relació a un punt de referència que pugui ser utilitzat per a identificar les deficiències en el disseny i implementació dels sistemes, i el tractament dels riescos mitjançant la possible identificació de tractaments adequats per a les vulnerabilitats i amenaces localitzades.

Aquesta identificació i tractament dels riscos formen part dels processos definits en la secció de Principis dins de la política de seguretat o, como s'hi referencia en l'exemple, solen formar part de la pròpia política del SGSI, tal i com s'observa a continuació.

POLÍTICA DE SGSI

En vista de la importància pel correcte desenvolupament dels processos de negoci, els sistemes d'informació han d'estar protegits adequadament.

Una protecció fiable permet a l'organització percebre millor els seus interessos i portar a terme eficientment les seves obligacions en seguretat de la informació. La inadequada protecció afecta al rendiment general d'una empresa i pot afectar negativament a la imatge, reputació i confiança dels clients.

L'objectiu de la seguretat de la informació és assegurar la continuitat del negoci en l'organització i reduir al mínim el risc de danys mitjançant la prevenció d'incidents de seguretat, així como reduir l'impacte potencial quan sigui inevitable.

Per a aconseguir aquest objectiu, l'organització ha desenvolupant una metodologia de gestió del risc que permet analitzar regularment el grau d'exposició dels nostres actius importants enfront aquelles amenaces que poden aprofitar certes vulnerabilitats i introdueixin impactes adversos a les activitats del nostre personal o als processos importants de la nostra organització.

L'èxit en l'ús d'aquesta metodologia parteix de la pròpia experiència i aportació de tots els empleats en matèria de seguretat, i mitjançant la comunicació de qualsevol consideració rellevant als seus responsables directes en les reunions periòdiques establertes per part de la direcció, amb l'objectiu de localitzar possibles canvis en els nivells de protecció i avaluar les opcions més eficaces en cost/benefici de gestió del risgco en cada moment, i segons el cas.

Els principis presentats en la política de seguretat que acompanya a aquesta política van ser desenvolupats pel comitè de seguretat amb l'objectiu de garantir que les futures decisions es basin en preservar la confidencialitat, integritat i disponibilitat de la informació rellevant de l'organització. L'organització compta amb la col·laboració de tots els empleats en l'aplicació de les polítiques i directives de seguretat proposades.

L'ús diari dels ordinadors per part del personal determina el compliment de les exigències d'aquests principis i es realitzen processos d'inspecció per a confirmar que es respecten i compleixen per part de tota l'organització. Adicionalment a aquesta política, i a la política de seguretat de MOTTO DIGITAL AGENCY, es disposa de polítiques específiques per a les diferents activitats.

Totes les polítiques de seguretat vigents estaran a l'abast de totes les parts interessades i s'actualizaran regularment. L'objectiu de la política és protegir els actius d'informació de l'organització en contra de totes les amenaces i vulnerabilitats internes i externes, tant si es produeixen de manera deliberada com accidental.

LA DIRECCIÓ ÉS LA RESPONSABLE D'APROVAR UNA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ QUE ASSEGURI QUE:

La informació estarà protegida contra qualsevol accés no autoritzat.

La confidencialitat de la informació, especialment aquella relacionada amb les dades de caràcter personal dels empleats i clients.

La integritat de la informació es mantindrà en relació a la classificació de la informació.

La disponibilitat de la informació compleix amb els tempos rellevants pel desenvolupament dels processos crítics de negoci.

Es compleix amb els requisits de les legislacions i reglamentacions vigents, especialment amb la Llei de Protecció de Dades.

Els plans de continuitat de negoci seran mantinguts, provats i actualitzats al menys amb caràcter anual.

La capacitació en matèria de seguretat es compleix i s'actualitza suficientement per a tots els empleats.

Tots els esdeveniments que tinguin relació amb la seguretat de la informació, tant reals com suposats, es comunicaran al Responsable del Sistema de Seguretat de la Informació (RSGSI) i seran investigats.

Adicionalment, es disposa de procediments de suport que inclouen la manera específica en què s'han d'emprendre les directrius generals indicades en les polítiques i per part dels responsables designats.

El compliment d'aquesta política, així com de la política de seguretat de la informació i de qualsevol procediment o documentació inclosa dins del repositori de documentació del SGSI, és obligatori i afecta a tot el personal de l'organització.

Les visites i outsources que accedeixin a les nostres instal·lacions no estan exemptes del compliment de les obligacions indicades en la documentació del SGSI, i el personal intern observarà el seu compliment.

En qualsevol cas, de dubte, aclariment o per a més informació sobre l'ús d'aquesta política i l'aplicació del seu contingut, per favor, consulti per telèfon o e-mail al responsable del SGSI designat formalment en l'organigrama corporatiu.


9 de gener de 2020
MOTTO DIGITAL AGENCY, SL