Objectiu

La informació que es tracta a CASA TARRADELLAS és un actiu amb un gran valor per la organització i en conseqüència és necessari que estigui degudament protegida. A aquests efectes, és necessari que s’implementin mesures per garantir-ne els següents aspectes:

• Disponibilitat: assegurar que els usuaris puguin tenir accés a la informació quan la necessitin.
• Integritat: assegurar que la informació sigui completa i exacta.
• Confidencialitat: assegurar que la informació és només accessible als usuaris que estiguin autoritzats.

La implementació de mesures de seguretat de la informació protegeix així mateix els següents actius:

• Estratègia del negoci: la informació és un dels actius més importants per les empreses en la mesura en que conté dades confidencials de valor estratègic per l’empresa. En aquest sentit, la informació ha d’estar degudament protegida per garantir la protecció del negoci.
• Compliment de la normativa i contractes: garantir la seguretat de la informació és també essencial per assegurar el compliment dels compromisos contractuals així com de la normativa en vigor.
• La seguretat front a amenaces: en un entorn cada cop més amenaçat per atacs als sistemes d’informació, és essencial implementar polítiques que permetin controlar i restringir accessos no autoritzats.

Mesures a implementar

A través de la Política de Seguretat de la Informació i de la resta de polítiques que en pengen es pretenen implementar una sèrie de mesures amb l’objectiu de garantir aquesta seguretat de la informació. Aquestes mesures estan orientades en una sèrie de principis previstos en la Política de Seguretat de la Informació i que a mode de resum són els següents.

• Garantir el compliment de tots els sistemes d’informació amb la normativa aplicable, tant externa com interna
• Gestionar el risc de manera que aquests assoleixin un nivell acceptable
• Realitzar tasques de formació i conscienciació del personal
• Garantir la disponibilitat, integritat i confidencialitat de la informació i dades de l’empresa
• Establir mesures que siguin proporcionals amb els riscos identificats
• Fer palesa la responsabilitat de tots els integrants i col·laboradors de l’empresa pel que fa a la seguretat de la informació
• Revisar de manera recurrent el grau d’eficàcia dels controls i així establir un procés de millora continua

Rols i responsabilitats

La seguretat de la informació és cosa de tots i, en aquest sentit, tots els que formem part de CASA TARRADELLAS tenim la responsabilitat de implementar les mesures que siguin necessàries per garantir aquesta seguretat, entre les quals es citen les següents:

1. Guardar secret professional respecte a la informació de CASA TARRADELLAS així com respecte de les dades de caràcter personal a les que es tingui accés
2. No cedir informació confidencial o dades personals a tercers sense l’autorització necessària
3. Comunicar qualsevol incidència que es detecti que afectin a la seguretat de la informació
4. Garantir que la informació i dades personals estan correctament emmagatzemades de manera segura, incloent la informació en suport físic la qual s’ha de guardar en armaris tancats (procurant en tot cas limitar l’ús d’informació en suport físic)
5. Utilitzar els dispositius corporatius únicament per fins professionals i seguint les indicacions d’accés i ús que s’indiquin per part de l’empresa

Sense perjudici de l’anterior, a CASA TARRADELLAS s’han definit els següents rols i responsabilitats encarregats de vetllar per la seguretat de la informació:

1. Comitè de Seguretat: òrgan responsable de promoure, controlar i fer seguiment del compliment de les mesures de seguretat necessàries per garantir la seguretat de la informació. Així mateix actua com a punt de contacte amb les autoritats competents en cas de detectar-se incidències.
2. Responsable Sistemes TIC: desenvolupar, operar i mantenir el sistema d’informació i implementar les mesures de seguretat que siguin necessàries.
3. Propietari de l’Actiu: vetllar pel compliment de les mesures de seguretat que es vagin implementant així com comunicar incidències que es detectin i proposar millores.
4. Serveis Jurídics: vetllar pel compliment de la normativa vigent en matèria de protecció de dades i seguretat de la informació.

Polítiques específiques

En el marc de la Política de Seguretat de la Informació s’han definit les següents polítiques específiques més rellevants sobre mesures específiques d’obligat compliment per tots els usuaris:

1. Control d’accessos: limitar els accessos als actius i a la informació per tal d’evitar accessos no autoritzats.
2. Classificació de la informació: garantir la correcta protecció de la informació en funció de la seva naturalesa i grau de sensibilitat.
3. Seguretat física i ambiental: garantir la correcta protecció de la informació en funció de la seva naturalesa i grau de sensibilitat.
4. Mesures orientades a l’usuari: garantir que hi hagi (i) un adequat ús dels actius, (ii) un lloc de treball net per evitar pèrdues d’informació, (iii) que la informació s’intercanvia de manera segura, (iv) garantir la seguretat en l’ús dels dispositius corporatius, (v) controlar la instal·lació i ús dels softwares adequats per garantir-ne la seguretat.
5. Realització de còpies i plans de continuïtat: garantir que l’empresa posseeix i manté segures còpies de seguretat de la informació pel cas que fos necessari el recurs a les mateixes en cas d’incident.
6. Prevenció i detecció de virus i altres softwares maliciosos: garantir la instal·lació i ús de programes per protegir a la organització sobre virus o softwares maliciosos.
7. Gestió de vulnerabilitats tècniques: adoptar mesures per fer front a vulnerabilitat tècniques en les seves aplicacions.
8. Controls criptogràfics: la utilització de controls criptogràfics per protegir la confidencialitat i integritat de la informació.
9. Seguretat en les comunicacions: protegir la informació que es troba emmagatzemada a la xarxa.
10. Privacitat i protecció de la informació personal: garantir el compliment de la normativa de protecció de dades.
11. Relació amb proveïdors: garantir que totes aquestes mesures també es compleixen respecte dels proveïdors.