Información actualizada a fecha del 10/10/2024

1 OBJETO.

El objetivo de este documento es dar a conocer a los empleados la política de seguridad de AXENTIO S.L. como proveedor de servicios informáticos gestionado (MSP) , marcar las pautas de alto nivel a seguir para que todos los tratamientos de información relativos a los procesos de negocio indicados en el alcance se realicen de forma segura y únicamente por personal autorizado, así como proteger la información de la organización ante posibles pérdidas de confidencialidad, integridad y/o disponibilidad.

2 ALCANCE.

DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

El presente documento tiene por objeto establecer la política de seguridad de la información para AXENTIO S.L como proveedor de servicios informáticos gestionado (MSP) en base a los requisitos dispuestos en el estándar de seguridad de la información, asegurando así la confidencialidad, integridad y disponibilidad de los sistemas de información de AXENTIO S.L. y por supuesto, garantizando el cumplimiento de todas las obligaciones legales aplicables.

Como punto fundamental de la política está la implantación, operación y mantenimiento de un SGSI basado en ISO 27001.

Aspectos básicos de la política de seguridad de AXENTIO S.L.:

  • Asegurar la confidencialidad, integridad y disponibilidad de la información.
  • Cumplir todos los requisitos legales aplicables.
  • Tener un plan de continuidad que permite recuperarse de un desastre en el menor tiempo posible.
  • Formar y concienciar a todos los empleados en materia de seguridad de la información.
  • Gestionar adecuadamente todas las incidencias ocurridas.
  • Todos los empleados son informados de sus funciones y obligaciones de seguridad y son responsables de cumplirlas.
  • Hay un responsable de seguridad encargado del sistema de gestión la seguridad de la información (SGSI) de la organización.
  • Mejorar de forma continua el SGSI y por ende, la seguridad de la información de la organización.

3 DESCRIPCIÓN.

POLÍTICA DE SEGURIDAD

1. OBJETIVOS

La política de seguridad de AXENTIO S.L. tiene por objetivo marcar las pautas de alto nivel a seguir para que todos los tratamientos de información relativos a los procesos de negocio indicados en el alcance se realicen de forma segura y únicamente por personal autorizado, así como proteger la información de la organización ante posibles pérdidas de confidencialidad, integridad y/o disponibilidad.

Para todo ello, existe un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 que sigue un ciclo de mejora continua.

PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN

Nuestra Política de Seguridad, se establece en base a los requisitos dispuestos en el estándar de seguridad de la información UNE-ISO/IEC 27001:2022. Asegurando así la confidencialidad, integridad y disponibilidad de los sistemas de información de AXENTIO, S.L., garantizando a su vez, el cumplimiento de todas las obligaciones legales aplicables.

De esta forma, como punto fundamental de la Seguridad de la Información de AXENTIO, S.L., podemos enumerar los siguientes aspectos básicos conforme al SGSI basado en la ISO 27001:

  • Compromiso de los órganos superiores: La seguridad de la información cuenta con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas de AXENTIO, S.L., para de esta forma conformar un “todo”, que sea coherente y eficaz, en muestra de este compromiso la Dirección General velará por el cumplimiento del presente documento, manteniéndolo actualizado y aprobado. Así también, proporcionará todos los medios económicos y logísticos para la constitución, implantación, mantenimiento y evolución del SGSI .
  • Proceso integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual de AXENTIO, S.L., estando presente y aplicándose desde el diseño inicial de los sistemas de información. Asegurándose de promover conocimiento y concienciación en Seguridad de la Información entre sus empleados.
  • Gestión de la seguridad basada en Riesgos: Se desarrolla el estudio y la evaluación de los riesgos que puedan poner en peligro la seguridad de la información. Así mismo, se aplicarán las medidas necesarias para mitigar estos riesgos en base a su criticidad. Realizando evaluaciones periódicas que permitan obtener el estado de la gestión del tratamiento del riesgo y principalmente tras incidentes de seguridad.
  • Prevención, reacción y recuperación: La seguridad del sistema contemplará aspectos de prevención, detección y corrección, para conseguir que las amenazas no afecten a la información y los servicios que presta, para ello se efectuarán ciclos de gestión basados en la planificación de los riesgos y su medida, la implantación de las medidas de seguridad y en la posterior reevaluación de las mismas.
  • Línea de defensa: Se implementarán los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo con las necesidades de nivel de servicio de sus usuarios, teniendo por prioridad ganar tiempo para una reacción adecuada ante los incidentes, reduciendo la probabilidad de que el sistema sea comprometido y que minimice el impacto final sobre el mismo.
  • Reevaluación periódica: La Dirección General realizará una revaloración periódica de las medidas de seguridad para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, realizando auditoria y marcándose objetivos como compromiso de mejora continua del sistema.
  • Responsabilidad diferenciada: En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad sobre la prestación de los servicios y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.

POLÍTICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

  • Garantizar que los servicios acordados con los diferentes clientes se prestan ante la ocurrencia de un desastre en AXENTIO, S.L. y los procesos de negocio que lo sustentan.
  • Proteger la seguridad de los recursos de AXENTIO, S.L., ya sea en la gestión diaria como en caso de emergencia de la compañía.
  • Establecer periódicamente objetivos de mejora alineados con la presente política.
  • La Dirección de AXENTIO, S.L. se responsabilizará de la gestión de los riesgos clave para la seguridad de la información y la continuidad operativa de los procesos considerados críticos para la organización.
  • Elaborar un Plan de Continuidad que permita recuperarse ante un desastre, en el menor tiempo posible.
  • Formar y concienciar a todos los empleados en materia de seguridad de la información.
  • AXENTIO, S.L. velará que todos los recursos internos estén plenamente informados de las responsabilidades que le competen en el marco de la Seguridad de la Información.
  • AXENTIO, S.L. debe minimizar los riesgos de seguridad de la información, asegurando planes de respuesta eficaces ante incidentes.
  • AXENTIO, S.L. garantizará la elaboración de planes de comunicación apropiados, tanto internos como externos, que serán revisados y actualizados de forma periódica.
  • Hacer patente el compromiso de la Dirección en relación a la Seguridad de la Información en consonancia con la estrategia de negocio, mediante su apoyo al Comité del SGSI dotándole de los medios y facultades necesarias para la realización de sus funciones.
  • Definir, desarrollar e implantar los controles técnicos y organizativos que resulten necesarios para garantizar la Confidencialidad, Integridad y Disponibilidad de la información gestionada en la organización.
  • Garantizar el cumplimiento de la legislación vigente en materia de protección de datos de carácter personal, propiedad intelectual y sociedad de la información, así como de todos aquellos requerimientos legales, reglamentarios y contractuales que resulten aplicables.
  • Crear una “cultura de seguridad” tanto internamente, en relación con todo el personal, como externamente, en relación con los clientes y proveedores.
  • Considerar el Sistema de Gestión de Seguridad de la Información como un proceso de mejora continua, realizando revisiones periódicas con el objetivo de alcanzar niveles de seguridad de la información cada vez más avanzados.

Adicionalmente, en AXENTIO, S.L., contamos con procedimientos de apoyo que incluyen el modo especifico en que se deben acometer las directrices generales indicadas en la presente Política de Seguridad por parte de los responsables designados.

El cumplimiento de la presente política de seguridad de la información y cualquier procedimiento o documentación que se incluya dentro del SGSI , es obligatoria y atañe a todo el personal de la organización.

Así también, las visitas y personal externo que acceda a nuestras instalaciones no están exentos del cumplimiento de las obligaciones indicadas en la documentación del SGSI. Ese cumplimiento será supervisado por el personal interno de la organización.