POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN:

INTRODUCCIÓN

Esta Política de Seguridad de la Información se establece para proteger la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de los activos de información de ACFYD. Cumple con el Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad (ENS). Se aplica a todos los empleados, contratistas y terceros usuarios que accedan o utilicen los activos de información de ACFYD.

Para la definición de esta y otras políticas organizativas, se han utilizado como referencia las Guías CCN-STIC 800, incluso cuando no se mencione explícitamente en la documentación específica.

PROPÓSITO

El propósito de esta política es garantizar la protección de los activos de información frente a todas las amenazas, ya sean internas o externas, deliberadas o accidentales. Su objetivo es asegurar el cumplimiento de todas las leyes, reglamentos y obligaciones contractuales aplicables.

La política establece un marco para fijar, revisar y alcanzar los objetivos de seguridad de la información y define las responsabilidades de los empleados, contratistas y terceros en la protección de los activos de ACFYD.

Además, busca promover la concienciación, educar a los empleados y guiar los procesos de toma de decisiones relacionados con la seguridad de la información dentro de la organización.

ALCANCE

Esta política se aplica a todos los activos de información propiedad de ACFYD, o que estén arrendados, gestionados o controlados por ella, incluyendo la información almacenada en medios físicos o electrónicos, la información transmitida por redes o canales de comunicación, y la información procesada por empleados, contratistas o terceros.

OBJETIVOS

Los objetivos principales son proteger la confidencialidad (evitar la divulgación no autorizada), asegurar la integridad (evitar modificaciones no autorizadas) y garantizar la disponibilidad de la información para los usuarios autorizados cuando sea necesario.

Asimismo, la política busca asegurar el cumplimiento de leyes como el RGPD, la LOPDGDD, la Ley 10/2021 de Trabajo a Distancia, etc., mientras se mejora continuamente el SGSI.

ORGANIZACIÓN DE LA SEGURIDAD Y RESPONSABILIDADES

C-Level (Alta Dirección)

La dirección de ACFYD es responsable de proporcionar liderazgo y compromiso. Aseguran la disponibilidad de recursos para mantener el SGSI y aprueban las políticas. Deben identificar activos, revisar informes de auditoría, coordinar planes de gestión de riesgos y promover la concienciación en todos los niveles.

Managers (Gerentes/Responsables)

Deben asegurar el cumplimiento de las políticas en sus equipos, identificar nuevos activos y riesgos, implementar acciones correctivas tras las auditorías y fomentar la formación en seguridad de sus colaboradores.

Staff (Personal)

Deben adherirse a los procedimientos del SGSI (clasificación de datos, uso aceptable de activos, gestión de contraseñas, etc.), informar inmediatamente de cualquier incidente de seguridad y participar en las sesiones de formación obligatorias.

MEDIDAS DE SEGURIDAD

ACFYD ha establecido un conjunto integral de medidas estratégicas y tecnológicas:

  • Recursos Humanos: Garantizar que el personal conozca sus responsabilidades y esté capacitado para proteger la información.
  • Gestión de Activos: Identificación, clasificación y control de activos durante todo su ciclo de vida.
  • Control de Acceso: Acceso limitado solo a usuarios autorizados mediante mecanismos de autenticación robustos.
  • Seguridad de Red: Protección de la infraestructura mediante firewalls, sistemas de detección de intrusos y monitorización constante.
  • Seguridad en las Operaciones: Sistemas de registro (logs) y monitoreo para identificar actividades sospechosas.
  • Gestión de Configuración: Gestión sistemática y documentada de las configuraciones de los sistemas.
  • Desarrollo Seguro: Integración de la seguridad en el ciclo de vida del software (revisiones de código, pruebas de vulnerabilidad).
  • Gestión de Cambios: Control y documentación de cambios en la infraestructura para minimizar riesgos.
  • Gestión de Riesgos: Evaluaciones periódicas y aplicación de controles para mitigar riesgos identificados.
  • Gestión de Datos: Clasificación de la información según su sensibilidad y criticidad.
  • Gestión de Incidentes: Proceso para detectar, responder y recuperarse de incidentes de seguridad de forma rápida.
  • Continuidad de Negocio: Planes para asegurar que las funciones críticas sigan operativas tras una interrupción.
  • Gestión de Terceros: Aplicación de requisitos de seguridad a proveedores y socios externos.
  • Cumplimiento: Auditorías periódicas para verificar el cumplimiento legal y normativo.
  • Concienciación y Comunicación: Formación regular para todo el personal sobre mejores prácticas.

MEJORA DE LA SEGURIDAD

ACFYD se compromete con la mejora continua. Se evalúan periódicamente las auditorías, los informes de incidentes y las sugerencias de los empleados para perfeccionar el SGSI y adaptarse a las nuevas amenazas.

CUMPLIMIENTO

ACFYD se reserva el derecho de auditar y/o monitorizar las actividades de los empleados y la información gestionada. El incumplimiento de esta política dará lugar a medidas disciplinarias proporcionales a la infracción cometida.

REVISIÓN

Esta política se revisa y actualiza anualmente o según sea necesario.

GESTIÓN DE CAMBIOS