POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Es una prioridad esencial de atmira alcanzar en sus productos y servicios un nivel de seguridad que garantice la protección adecuada de la información, para que todos sus clientes puedan usarla con la máxima confianza.
Acorde a ello, la Dirección de atmira ha definido e implantado un Sistema de Gestión de la Seguridad de la Información (SGSI) que permita a la compañía garantizar que los sistemas de información y la información que éstos tratan y almacenan cumplen los siguientes principios:
• Confidencialidad: la información perteneciente a atmira debe ser conocida exclusivamente por las personas autorizadas, previa identificación en el momento y por los medios habilitados.
• Integridad: la información de atmira debe de ser completa, exacta y válida, siendo su contenido el facilitado por los afectados sin ningún tipo de manipulación.
• Disponibilidad: la información de atmira debe estar accesible y utilizable por los usuarios autorizados e identificados en todo momento, quedando garantizada su propia persistencia ante cualquier eventualidad prevista.
• Trazabilidad: todas las acciones realizadas sobre la información perteneciente a atmira son asociadas de modo inequívoco a un individuo o entidad.
• Autenticidad: atmira garantiza que una entidad es quien dice ser o garantiza la fuente de la que proceden los datos.
El alcance del SGSI cubre la plataforma de servicios de consultoría tecnológica prestados por la compañía en todas sus sedes e instalaciones, concretamente los servicios de desarrollo, outsourcing, gestión de infraestructuras de TI e implantación de aplicaciones informáticas, de acuerdo con la vigente Declaración de Aplicabilidad de la organización.
El Modelo de Seguridad de la Información implantado en atmira está basado en la Norma internacional ISO/IEC 27001:2013 y se contiene en el Manual General de Políticas de Seguridad de la Información. Este manual y el conjunto de políticas, procedimientos, instrucciones y guías de seguridad establecidos para proteger los activos de información de la organización frente a amenazas, internas o externas, deliberadas o accidentales, constituyen el Marco Normativo Interno de Seguridad de la Información de atmira.
La Dirección asume la responsabilidad de proporcionar los medios materiales y humanos que resulten adecuados para establecer e implementar las medidas organizativas, técnicas y de control necesarias para el cumplimiento de los requisitos de seguridad de la información, los cuales están especificados en el Marco Normativo Interno de Seguridad de la Información de atmira.
Las Políticas de Seguridad serán mantenidas, actualizadas y adecuadas a los fines de atmira y estarán alineadas con el contexto de la organización y con su estrategia de gestión del riesgo, dentro de los cuales se mantendrá el SGSI. A este efecto, se ha establecido un proceso de análisis y gestión de riesgos relativos a la seguridad de la información.
La Dirección fomentará un nivel adecuado de capacidad técnica a través de la formación y concienciación del personal, y se compromete a revisar y mejorar de forma continua el SGSI implantado en la empresa.
La Dirección se compromete a cumplir con los objetivos globales de seguridad de la información establecidos anualmente y a cumplir con los requisitos legales y reglamentarios que afecten a atmira. En concreto, los objetivos globales de seguridad establecidos por la organización son:
• Llevar a cabo una adecuada valoración, gestión y tratamiento del riesgo, con el fin de reducir progresivamente el Índice de Criticidad del Riesgo.
• Mantener y mejorar de manera continua el marco normativo interno de seguridad de la información, que incorpora las políticas y procesos de seguridad de la información que son de obligado cumplimiento para toda la organización y verificar que dicho marco normativo se aplica.
• Mantener un marco organizativo y de responsabilidades en seguridad de la información, que garantice que los empleados y terceros involucrados conocen y entienden sus responsabilidades en materia de seguridad de la información y que dichas responsabilidades son adecuadas a las funciones que se les atribuyen.
• Proteger los activos de información adoptando los controles que resulten más eficaces para preservar su confidencialidad, integridad y disponibilidad.
• Garantizar que la seguridad de la información es parte integral de los sistemas de información en todo su ciclo de vida (adquisición, desarrollo y mantenimiento).
• Asegurar que se realiza una gestión rápida, efectiva y adecuada de los incidentes, eventos y debilidades de seguridad de la información.
• Promover el correcto cumplimiento de las obligaciones legales, estatutarias o contractuales relativas a la seguridad de la información o a los requisitos de seguridad.
Esta Política será comunicada a todos los afectados dentro del alcance del SGSI y quedará a disposición de las partes interesadas para cualquier consulta.
Aprobada en fecha 27 de febrero de 2023, versión 3.0