Política de Seguridad de la información
Introducción y compromiso
IRIZAR, S. Coop. considera la información como uno de sus activos más valiosos y asume el compromiso de protegerla de forma adecuada frente a cualquier amenaza que pueda afectar a su confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad. Con este fin, IRIZAR ha implantado un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a la norma UNE-EN ISO/IEC 27001 y al Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo.
RIZAR, S. Coop. considera la información como uno de sus activos más valiosos y asume el compromiso de protegerla de forma adecuada frente a cualquier amenaza que pueda afectar a su confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad. Con este fin, IRIZAR ha implantado un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a la norma UNE-EN ISO/IEC 27001 y al Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo.
Esta Política de Seguridad de la Información constituye el marco de referencia sobre el que se sustenta la protección de la información y de los servicios prestados por IRIZAR, y expresa el compromiso de la Dirección con la mejora continua de la seguridad.
IRIZAR se compromete a garantizar la calidad de la información, la confidencialidad y la continuidad de los servicios mediante un enfoque preventivo, aplicando las medidas de seguridad exigidas por el ENS, la norma ISO/IEC 27001 y la legislación vigente en materia de protección de datos personales. La seguridad se integra en todas las fases del ciclo de vida de los sistemas de información, desde su concepción hasta su retirada, así como en la planificación estratégica y operativa de la organización.
Principios básicos
La seguridad de la información en IRIZAR se rige por los siguientes principios básicos:
-
Alcance estratégico: la seguridad cuenta con el compromiso y el apoyo de todos los niveles directivos, integrándose con el resto de iniciativas estratégicas de la organización.
-
Seguridad integral: la seguridad se entiende como un proceso integral formado por los elementos técnicos, humanos, materiales y organizativos, considerada desde el diseño inicial de los sistemas.
-
Gestión de riesgos: el análisis y la gestión de riesgos son una parte esencial del proceso de seguridad, manteniendo un entorno controlado y minimizando los riesgos a niveles aceptables.
-
Proporcionalidad: las medidas de protección, detección y recuperación son proporcionales a los riesgos y a la criticidad y valor de la información y los servicios.
-
Mejora continua: las medidas de seguridad se reevalúan y actualizan periódicamente para adaptar su eficacia a la evolución de los riesgos.
-
Seguridad por defecto: los sistemas se diseñan y configuran para garantizar un grado suficiente de seguridad predeterminada.
Objetivos de seguridad de la información
IRIZAR establece como objetivos de seguridad de la información, entre otros, los siguientes:
-
Garantizar la calidad y protección de la información y de los servicios.
-
Gestionar los activos de información mediante su inventario, categorización y asignación de responsables.
-
Concienciar a las personas usuarias sobre sus responsabilidades en materia de seguridad de la información.
-
Proteger los activos frente a amenazas físicas, ambientales y lógicas mediante controles de acceso adecuados a su criticidad.
-
Asegurar la trazabilidad y el control de acceso a la información mediante mecanismos de identificación, autenticación y autorización.
-
Gestionar adecuadamente los incidentes de seguridad y garantizar la continuidad de los servicios esenciales.
-
Cumplir la normativa legal vigente en materia de seguridad de la información y protección de datos.
Gestión de la seguridad
La seguridad se articula en torno a un ciclo de prevención, detección, respuesta y recuperación. IRIZAR implanta medidas para evitar que la información y los servicios se vean afectados por incidentes, supervisa de forma continua la operación para detectar anomalías, dispone de mecanismos para responder eficazmente ante los incidentes de seguridad y elabora planes de continuidad para asegurar la disponibilidad de los servicios esenciales. Todos los sistemas están sujetos a un análisis de riesgos que se revisa, al menos, anualmente y ante cambios significativos o incidentes graves.
Marco normativo
Esta política se desarrolla en cumplimiento de la siguiente normativa de referencia:
-
Norma UNE-EN ISO/IEC 27001, de sistemas de gestión de la seguridad de la información.
-
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
-
Reglamento (UE) 2016/679 (RGPD) y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
-
Directiva (UE) 2022/2555 (Directiva NIS 2), relativa a las medidas para garantizar un elevado nivel común de ciberseguridad en la Unión.
Mejora continua
La gestión de la seguridad de la información es un proceso sujeto a actualización constante. IRIZAR revisa y mejora de forma periódica su política, sus medidas de seguridad y sus procedimientos para adaptarse a la evolución de la organización, las amenazas, las tecnologías y la legislación.
Esta Política de Seguridad de la Información ha sido aprobada por la Dirección de IRIZAR, S. Coop. y es de aplicación a toda la organización.