Política de seguridad de la información de los suministradores

1. Política de seguridad de la información suministradores

Ponemos en conocimiento de nuestros proveedores la existencia de Directrices de Seguridad de la Información establecidas en nuestra organización para mostrar el compromiso de GRUPO JISAP (en adelante JISAP), en la protección y garantía de los principios de: confidencialidad, integridad y disponibilidad de la información manejada en la Organización.
Trabajamos bajo un Sistema de Gestión de Seguridad de la Información, cuyo alcance no sólo afecta al uso de los activos, sino que se extiende a todas las personas y terceros en el conocimiento y cumplimiento de estas Directrices estructuradas acorde a la norma ISO/IEC 27001:2013. Tanto la Política como las Directrices de Seguridad de la Información, están en línea con el Reglamento General de Protección de Datos (RGPD).

Esta regulación en materia de seguridad incide en los siguientes campos de la Organización:

● Acceso a las instalaciones. En la que se regulan las normas de acceso, haciendo especial mención a los accesos a áreas seguras y regulación del acceso a personas ajenas a la organización.

● Acceso a la red corporativa. Los recursos corporativos son protegidos con los medios de seguridad técnicos necesarios para asegurar la protección de la información, ya sea desde las propias instalaciones o de forma externa. El acceso y el uso de la información están reguladas por normas enfocadas a la protección con especial atención a información sensible o confidencial.

● Uso de los activos. Las personas en JISAP se comprometen a hacer un uso racional y velar por el cuidado de los equipos proporcionados por la Organización para el desempeño de sus funciones y tareas. En este sentido se describen normas de actuación y se aplican configuraciones encaminadas a la protección de la información contenida en estos dispositivos.

● Uso de internet. Especial atención se realiza en la regulación del uso de internet, correo electrónico y almacenamiento en la nube a usos profesionales con el objetivo de minimizar riesgos que puedan producirse con un uso no regulado de dichas herramientas.

● Gestión de incidencias. La implicación de las personas de JISAP en materia de seguridad ayuda a detectar posibles problemas que puedan poner en peligro la confidencialidad, integridad y disponibilidad los servicios o activos que soportan.

● Continuidad de negocio. Todos los medios implantados para la disponibilidad y continuidad del negocio están en línea con los requerimientos de los esquemas ISO certificados en la organización.

● Propiedad intelectual. Protegida con el compromiso de las personas de JISAP conforme a las normas de confidencialidad de la organización.

● La violación de las Políticas y las directrices de Seguridad está sujetas a sanción de acuerdo con los mecanismos habilitados en la legislación vigente.

Tanto la política (PG-25 Política De Seguridad) como las directrices (PG- 26 Directrices Gestión Seguridad) son revisadas periódicamente para alinearlas con las necesidades de la organización.

El Comité de Seguridad conoce la importancia de estas Políticas y participa activamente en la revisión de las mismas.

Política de seguridad de la información

Como respuesta a nuestro compromiso de  mejora continua del sistema de gestión de la seguridad de la información y a un nuevo entorno tecnológico donde la convergencia entre la informática y las comunicaciones están facilitando un nuevo paradigma de productividad para las empresas, JISAP, está altamente comprometido con mantener un servicio competitivo a través de ofrecer un modelo de negocio responsable basado en la búsqueda permanente del equilibrio económico, social y ambiental, donde el desarrollo de buenas prácticas en Seguridad de la Información es fundamental para conseguir los objetivos de confidencialidad, integridad, disponibilidad y legalidad de toda la información gestionada.

En consecuencia, a lo anterior, JISAP, define los siguientes principios de aplicación a tener en cuenta en el marco del Sistema de Gestión de Seguridad de la Información (SGSI):

  • Confidencialidad: La información tratada por JISAP será conocida exclusivamente por las personas autorizadas, previa identificación, en el momento y por los medios habilitados.
  • Integridad: La información tratada por JISAP será completa, exacta y válida, siendo su contenido el facilitado por los afectados sin ningún tipo de manipulación.
  • Disponibilidad: La información tratada por JISAP estará accesible y utilizable por los usuarios autorizados e identificados en todo momento, quedando garantizada su propia persistencia ante cualquier eventualidad prevista.
  • Legalidad: JISAP, garantizará el cumplimiento de toda legislación o requisito contractual que le sea de aplicación. Y en concreto, la normativa en vigor relacionada con el tratamiento de datos de carácter personal.

JISAP para el correcto desempeño de sus funciones de negocio se basa y ayuda del tratamiento de diferentes tipos de datos e información, sustentados por los sistemas, programas, infraestructuras de comunicaciones, ficheros, bases de datos, archivos, etc., constituyendo éstos, uno de los activos principales de JISAP, de tal manera que el daño o pérdida de los mismos inciden en la realización de sus servicios y pueden poner en peligro la continuidad de la organización. Para que esto no suceda, se ha diseñado una Política de Seguridad de la Información cuyos fines principales son:

  • Proteger, mediante controles/medidas, los activos frente a amenazas que puedan derivar en incidentes de seguridad.
  • Paliar los efectos de los incidentes de seguridad.
  • Establecer un sistema de clasificación de la información y los datos con el fin de proteger los activos críticos de información.
  • Definir las responsabilidades en materia de seguridad de la información generando la estructura organizativa correspondiente.
  • Elaborar un conjunto de reglas, estándares y procedimientos aplicables a los órganos de dirección, empleados, socios, proveedores de servicios externos, etc.
  • Especificar los efectos que conlleva el incumplimiento de la Política de Seguridad en el ámbito laboral.
  • Evaluar los riesgos que afectan a los activos con el objeto de adoptar las medidas/controles de seguridad oportunos.
  • Verificar el funcionamiento de las medidas/controles de seguridad mediante auditorías de seguridad internas realizadas por auditores independientes.
  • Formar a los usuarios en la gestión de la seguridad y en tecnologías de la información y las comunicaciones.
  • Controlar el tráfico de información y de datos a través de infraestructuras de comunicaciones o mediante el envío de soportes de datos ópticos, magnéticos, en papel, etc.
  • Observar y cumplir la legislación en materia de protección de datos, propiedad intelectual, laboral, de servicios de la sociedad de la información, penal, etc., que afecte a los activos de JISAP.
  • Proteger el capital intelectual de la organización para que no se divulgue ni se utilice ilícitamente.
  • Reducir las posibilidades de indisponibilidad a través del uso adecuado de los activos de la organización.
  • Defender los activos ante ataques internos o externos para que no se transformen en incidentes de seguridad.
  • Controlar el funcionamiento de las medidas de seguridad averiguando el número de incidencias, su naturaleza y efectos.

La Dirección de JISAP asume la responsabilidad de apoyar y promover el establecimiento de las medidas organizativas, técnicas y de control necesarias para el cumplimiento de la presente Política de Seguridad de la Información. Así como, de proveer de aquellos recursos que sean necesarios para resolver con la mayor rapidez y eficacia posible, las no conformidades e incidentes de seguridad de la información que pudiesen surgir, y la puesta en funcionamiento de las medidas necesarias para que éstas no vuelvan a ocurrir. 

Esta Política será mantenida, actualizada y adecuada a los fines de la organización, alineándose con el contexto de gestión de riesgos de la organización. A este efecto se revisará a intervalos planificados o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

De igual forma, para gestionar los riesgos que afronta JISAP se establece un procedimiento de evaluación de riesgos formalmente definido.

Por su parte, todas las políticas y procedimientos incluidos en el SGSI serán revisados, aprobados e impulsados por la Dirección de JISAP.

 Fecha  31/03/2021