Objetivo

La información de que se trata en CASA TARRADELLAS es un activo con un gran valor para la organización y en consecuencia es necesario que esté debidamente protegida. A estos efectos, es necesario que se implementen medidas para garantizar los siguientes aspectos:

Medidads a implementar

A través de la Política de Seguridad de la Información y del resto de políticas que cuelgan se pretenden implementar una serie de medidas con el objetivo de garantizar esta seguridad de la información. Estas medidas están orientadas en una serie de principios previstos en la Política de Seguridad de la Información y que a modo de resumen son los siguientes.

• Garantizar el cumplimiento de todos los sistemas de información con la normativa aplicable, tanto externa como interna
• Gestionar el riesgo de manera que éstos alcancen un nivel aceptable
• Realizar tareas de formación y concienciación del personal
• Garantizar la disponibilidad, integridad y confidencialidad de la información y datos de la empresa
• Establecer medidas que sean proporcionales con los riesgos identificados
• Hacer patente la responsabilidad de todos los integrantes y colaboradores de la empresa en cuanto a la seguridad de la información
• Revisar de manera recurrente el grado de eficacia de los controles y así establecer un proceso de mejora continua

Roles y responsabilidades

La seguridad de la información es cosa de todos y, en este sentido, todos los que formamos parte de CASA TARRADELLAS tenemos la responsabilidad de implementar las medidas que sean necesarias para garantizar esta seguridad, entre las que se citan las siguientes:

1. Guardar secreto profesional respecto a la información de CASA TARRADELLAS así como respecto de los datos de carácter personal a los que se tenga acceso
2. No ceder información confidencial o datos personales a terceros sin la autorización necesaria
3. Comunicar cualquier incidencia que se detecte que afecten a la seguridad de la información
4. Garantizar que la información y datos personales están correctamente almacenados de manera segura, incluyendo la información en soporte físico la cual se debe guardar en armarios cerrados (procurando en todo caso limitar el uso de información en soporte físico)
5. Utilizar los dispositivos corporativos únicamente para fines profesionales y siguiendo las indicaciones de acceso y uso que se indiquen por parte de la empresa

Sin perjuicio de lo anterior, en CASA TARRADELLAS se han definido los siguientes roles y responsabilidades encargados de velar por la seguridad de la información:

1. Comité de Seguridad: órgano responsable de promover, controlar y hacer seguimiento del cumplimiento de las medidas de seguridad necesarias para garantizar la seguridad de la información. Asimismo actúa como punto de contacto con las autoridades competentes en caso de detectarse incidencias.
2. Responsable Sistemas TIC: desarrollar, operar y mantener el sistema de información e implementar las medidas de seguridad que sean necesarias.
3. Propietario del Activo: velar por el cumplimiento de las medidas de seguridad que se vayan implementando así como comunicar incidencias que se detecten y proponer mejoras.
4. Servicios Jurídicos: velar por el cumplimiento de la normativa vigente en materia de protección de datos y seguridad de la información.

Políticas específicas

En el marco de la Política de Seguridad de la Información se han definido las siguientes políticas específicas más relevantes sobre medidas específicas de obligado cumplimiento para todos los usuarios:

1. Control de accesos: limitar los accesos a los activos y a la información con el fin de evitar accesos no autorizados.
2. Clasificación de la información: garantizar la correcta protección de la información en función de su naturaleza y grado de sensibilidad.
3. Seguridad física y ambiental: garantizar accesos no autorizados así como las pérdidas, daños, robos y compromiso de los activos físicos y digitales de la empresa.
4. Medidas orientadas al usuario: garantizar que haya (i) un adecuado uso de los activos, (ii) un puesto de trabajo limpio para evitar pérdidas de información, (iii) que la información se intercambia de manera segura, (iv) garantizar la seguridad en el uso de los dispositivos corporativos, (v) controlar la instalación y uso de los softwares adecuados para garantizar su seguridad.
5. Realización de copias y planes de continuidad: garantizar que la empresa posee y mantiene seguras copias de seguridad de la información para el caso de que fuera necesario el recurso a las mismas en caso de incidente.
6. Prevención y detección de virus y otros softwares maliciosos: garantizar la instalación y uso de programas para proteger a la organización sobre virus o softwares maliciosos.
7. Gestión de vulnerabilidades técnicas: adoptar medidas para hacer frente a vulnerabilidad técnicas en sus aplicaciones.
8. Controles criptográficos: la utilización de controles criptográficos para proteger la confidencialidad e integridad de la información.
9. Seguridad en las comunicaciones: proteger la información que se encuentra almacenada en la red.
10. Privacidad y protección de la información personal: garantizar el cumplimiento de la normativa de protección de datos.
11. Relación con proveedores: garantizar que todas estas medidas también se cumplen respecto de los proveedores.