POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La Alta Dirección de IDOM mantiene una política orientada a satisfacer los requisitos y expectativas de los clientes, impulsando una cultura de Seguridad de la Información basada en el liderazgo, el desarrollo de sus personas y la seguridad en sus operaciones, y ha decidido liderar la implantación de un Sistema de gestión de seguridad de la información (SGSI) en la misma.

Los objetivos de IDOM se encuentran alineados con los siguientes principios:

• Garantizar la continuidad de los servicios prestados por IDOM.
• Garantizar un nivel de seguridad adecuado y proporcional a la información manejada y a los activos de la organización basados en un análisis de riesgos respecto del SGSI.
• Minimizar el impacto causado por riesgos detectados sobre los activos, procesos y servicios prestados incluidos en el alcance del SGSI.
• Garantizar el cumplimiento de los requisitos y obligaciones de seguridad conforme a los requisitos legales, normativos y contractuales, establecidos en las relaciones con terceros y partes interesadas.
• Fomentar la seguridad a través de programas de capacitación y sensibilización entre el personal de IDOM.

IDOM considera la Seguridad de la Información como un principio básico en su organización, que debe establecerse desde el inicio y diseño en la organización de sus proyectos, y es entendida como la garantía
de la confidencialidad, integridad y disponibilidad de la información, independientemente del soporte en que ella se encuentre.

La Seguridad de la Información de IDOM se entenderá como un elemento fundamental para el mantenimiento de la confianza con sus clientes, su imagen corporativa y sus procesos de negocio, así como el cumplimiento de los requisitos de seguridad establecidos dentro de los objetivos estratégicos.

La presente Política permite alcanzar los niveles de seguridad que requiere en base a las necesidades del negocio, al contexto de la organización y a los riesgos presentes en sus procesos, cuyos principios se establecen a continuación:

• Principio de cumplimiento normativo: Toda la organización será participe y se ajustará a la normativa legal, regulatoria y sectorial que afecte a la Organización, en especial aquella relacionada con la protección de datos y privacidad, la segurización de sistemas y la ciberseguridad.
• Principio de gestión del riesgo: La Organización se compromete a efectuar análisis de riesgos a intervalos planificados con vistas a la minimización de los riesgos hasta niveles aceptables y ser acordes con los objetivos definidos por la Dirección, buscando el equilibrio entre los controles de seguridad y la naturaleza de la información tratada.
• Principio de concienciación y formación: La Organización dispondrá de los recursos adecuados y necesarios para la implementación de la seguridad, como programas de formación, sensibilización y campañas de concienciación para todos los usuarios en materia de Seguridad de la Información.
• Principio de seguridad: La Organización garantizará la Seguridad de la Información en sus tres vertientes, confidencialidad, integridad y disponibilidad, de tal forma que el acceso a la información sea el mínimo necesario para el personal autorizado, que dicha información sea veraz, fiable y exacta, y que se encuentre sustentada en los sistemas que cuenten con unos adecuados planes de continuidad.
• Principio de diferenciación de responsabilidades: Desde IDOM se busca la separación de funciones en materia de seguridad. De esta forma se persigue la aparición de múltiples opiniones y pensamientos a la hora de tomar decisiones en la organización. Es por esto que se ha planteado un organigrama con unas funciones diferenciadas en diferentes individuos
• Principio de proporcionalidad: La Organización buscará el equilibrio entre la implantación de controles que mitiguen los riesgos de seguridad de los activos, el coste 0 el esfuerzo que éstos impliquen y su impacto en las operaciones, siempre respetando la importancia y criticidad de la información contenida.
• Principio de responsabilidad: Todos los miembros de IDOM son plenamente conscientes y responsables de sus actuaciones con respecto a la Seguridad de la Información, de la importancia del cumplimiento de las normas y de los controles establecidos.
• Principio de vigilancia continua: Desde IDOM se es consciente de la seguridad continua y es por eso que se potencian actividades como la gestión de incidentes o registro de la actividad y detección del código dañino.
• Principio de mejora continua: La Organización revisará de manera recurrente el grado de eficacia de los controles de seguridad implantados, así como el cumplimiento de los objetivos, la mitigación de los riesgos y la mejora continua a través de revisiones planificadas y auditorías a tal efecto que permitan garantizar el nivel de seguridad adecuado.

Todas las particularidades que están vinculadas con la protección de datos personales y la privacidad en IDOM serán tratadas a través de la Política de Protección de Datos PDP-01, dando cumplimiento a las legislaciones y normativas aplicables a los servicios que realiza IDOM

Cuando IDOM preste servicios a otros organismos o maneje información de otros organismos, se les hará participe de esta Política. Se establecerán canales para el reporte y la coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando IDOM utilice servicios de terceros o ceda información a terceros, se les hará participe de esta Política y de la Normativa que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que los miembros de terceros están adecuadamente concienciados en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de esta Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del CISO que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los IO y los SO afectados antes de proceder.

Para cualquier relación con terceras partes, se establecerá un canal de comunicación con ésta mediante una persona perteneciente a la entidad externa con la que se comunicarán desde IDOM. Dicho canal de comunicación será llamado Punto Operacional de Comunicación (POC).