Política de Seguretat de la Informació
1. Introducció
La Política de Seguretat de la Informació (d’ara endavant, la Política) és una política d’alt nivell aprovada per l’àrea de Global com a representant de totes les persones treballadores i àrees transversals de BASETIS, té com a finalitat l’adopció d’un conjunt de mesures destinades a preservar la confidencialitat, la integritat i la disponibilitat de la informació, que constitueixen els tres components bàsics de la seguretat de la informació.
En tota organització hi ha informació confidencial, en major o menor grau, la pèrdua o ús indegut de la qual pot danyar la seva reputació. Així mateix, el deteriorament o la indisponibilitat dels sistemes d’informació pot interrompre el desenvolupament normal de l’operativa, produint efectes negatius en la qualitat del servei i els beneficis de la companyia.
A aquest efecte, BASETIS es compromet a desenvolupar un conjunt de normes d’ús, procediments, protocols, manuals, guies, etc. que reflecteixen els requisits legals i ètics aplicables a les actuacions dins de l’organització i que al seu torn cobreixen tots els aspectes que es presenten en aquesta Política. Amb això es pretén mitigar els riscos associats als sistemes d’informació de BASETIS descrivint el que s’espera de totes les parts interessades que en el desenvolupament de les seves funcions puguin tenir accés a informació, sistemes d’informació o recursos.
2. Objectiu
L’objectiu principal d’aquesta política d’alt nivell és definir els principis i les regles bàsiques per gestionar la seguretat de la informació. La finalitat última és aconseguir que BASETIS com a organització garanteixi nivells òptims de seguretat, permetent vetllar perquè aquesta informació (sigui pròpia o de tercers) mantingui la integritat, confidencialitat i disponibilitat.
Aquest document està disponible per a totes les parts interessades com a informació documentada i es comunica a tota l’organització.
3. Abast
La Política és aplicable a totes les persones treballadores de BASETIS, així com a les empreses proveïdores de serveis a què els apliqui, i a tots els serveis que es duen a terme com a activitat de negoci: Artificial Intelligence, Data Integration & Analytics, Design, Development, Infrastructure, Management & Business, Mobile.
4. Principis rectors o compromisos
BASETIS, estableix els principis bàsics següents com a directrius fonamentals de seguretat de la informació que s’han de tenir sempre presents en qualsevol activitat relacionada amb el tractament de la informació, i als quals es compromet:
-
Gestió dels riscos:
L’anàlisi de riscos serà part essencial del procés de seguretat de la informació. Aquesta gestió dels riscos permetrà mantenir un entorn controlat.
-
Normes i procediments:
Es definirà una completa normativa de seguretat que reguli les condicions en què l’empresa dins l’abast establert, ha de desenvolupar la seva activitat per respectar els requisits de seguretat i les formes d’actuació necessàries per garantir el desenvolupament correcte d’aquesta Política.
-
Abast estratègic:
La Seguretat de la Informació haurà de comptar amb el compromís i el suport de totes les persones treballadores de Basetis i amb l’àrea de Global com a garant d’alinear el propòsit de totes les àrees que conformen l’organització, assumint i donant suport a iniciatives transversals.
-
Seguretat per defecte:
La seguretat de la informació s’ha de considerar com a part de l’operativa habitual, i és present i s’aplica durant tot el procés de disseny, desenvolupament i manteniment dels sistemes d’informació.
-
Millora contínua:
Per garantir el manteniment continu dels nivells de seguretat i l’eficàcia del sistema, s’hauran de dur a terme auditories internes i externes, revisions periòdiques, definició de plans de formació i conscienciació en matèria de seguretat, elaboració d’un pla de tractament de riscos, etc.
5. Estructura de control
El nostre Sistema de Gestió de Seguretat es compon dels següents rols:
Comitè de Seguretat
- CIS “Responsable de Seguretat”
- CSO “Chief Security Office”
- Responsable del Sistema de Gestió de Seguretat de la Informació (RSGSI)
- La persona designada com delegada de Protecció de Dades (DPO)
- Un representant de l’equip ISO27001
- Un representant de l’àrea de Global.
- Un representant de l’àrea de Legal
- Un representant de l’equip de Desenvolupament/Projectes
- Un representant de l’àrea de Sistemes i Helpdesk.
6. Principals normes del nostre Sistema
El nostre Sistema de Gestió de Seguretat es basa en un conjunt de normes que es reflecteixen en polítiques específiques dins del Sistema, i les quals engloben els aspectes següents:
-
Confidencialitat de la Informació
Es protegirà la informació a què tenen accés els usuaris, contra revelacions no autoritzades o accidentals, modificació, destrucció o mal ús, sigui quin sigui el suport en què estigui continguda aquesta informació. Així mateix, es vetllarà per preservar la confidencialitat d’informació comercialment sensible de clients a què Basetis pugui tenir accés.
-
Privadesa i protecció de les dades personals
Per tal de preservar la confidencialitat de les dades i la informació BASETIS s’encarrega d’assegurar el compliment de les directrius vigents en matèria de protecció de dades personals, les quals es comuniquen a totes les parts interessades, i es posen en pràctica dins de tots els processos de l’organització.
-
Propietat intel·lectual
Es garantirà el compliment de les restriccions legals en ús del material protegit per normes de propietat intel·lectual. Es tindran en compte les normes que regulen la matèria tant dins dels processos interns de l’organització com en totes les relacions comercials amb clients i proveïdors.
-
Control d’accés físic a les instal·lacions
Es controlarà l’accés de terceres persones (externs) a les instal·lacions de BASETIS per garantir la seguretat i la confidencialitat de la informació dins les nostres oficines. Amb aquesta finalitat, la nostra política d’accés marca les pautes per assegurar el control de totes les persones que accedeixen a les nostres oficines.
-
Ús apropiat dels recursos i equips
Els recursos que BASETIS posa a disposició de les persones treballadores, independentment del tipus que siguin (informàtics, dades, programari, xarxes, sistemes de comunicació, etc.), estan disponibles exclusivament per emplenar les obligacions i propòsit de l’operativa per a la qual van ser dissenyats i implantats. S’estableix com a mesura de seguretat el bloqueig automàtic a tots els equips assignats als usuaris.
-
Ús de programaris i protecció davant de malware
L’àrea pertinent dins de l’organització s’encarregarà de garantir i controlar l’ús adequat de programaris instal·lats als diferents equips.
-
Intercanvi d’informació
BASETIS s’assegurarà de fer saber a totes les persones treballadores aquelles activitats prohibides en relació amb l’ús i l’intercanvi d’informació en el desenvolupament de les seves activitats laborals a través de les polítiques i formacions/conscienciació respectives, incloent-hi el maneig d’informació que continguin dades de caràcter personal.
-
Ús del correu electrònic
Els usuaris que accedeixin als sistemes d’informació de BASETIS disposaran d’un compte de correu electrònic específic i únic, assignat exclusivament a aquest usuari (nomusuari[a]basetis.com).
-
Connectivitat a Internet
L’Internet es considera una eina de treball, per la qual cosa totes les activitats a Internet han d’estar relacionades amb tasques i activitats de treball.
-
Responsabilitat dels usuaris
L’usuari serà responsable de totes les accions registrades als sistemes informàtics de BASETIS amb el seu identificador, així mateix haurà d’assegurar-se de seguir les instruccions per a la gestió de les seves contrasenyes i mantenir el seu lloc de treball net i clar.
-
Identificació d’usuaris i contrasenyes
Totes les persones treballadores estan obligades a utilitzar els recursos de BASETIS i les dades contingudes en ells sense incórrer en activitats que puguin ser considerades il·lícites o il·legals.
-
Gestió d’accessos
Es portarà un registre, concessió, alteració i revocació d’accessos als usuaris, aplicable a tots els sistemes d’informació de BASETIS.
-
Seguretat per a l’externalització
Els proveïdors seran degudament avaluats i hauran de seguir una sèrie de requisits definits tant als respectius contractes de servei com a la política de relació amb proveïdors.
-
Incidències
En cas de detectar-se alguna incidència relacionada amb els sistemes d’informació es procedirà d’acord amb el procediment de gestió d’incidents de seguretat definit.
6. Actualització de la Política
A causa de la mateixa evolució de la tecnologia, les amenaces de seguretat i les noves aportacions legals en la matèria, Basetis es reserva el dret a modificar aquesta Política quan sigui necessari. La revisió inclourà oportunitats d’avaluació per millorar la política i un apropament a la gestió de seguretat d’informació en resposta als canvis de l’ambient organitzacional, les circumstàncies del negoci, les condicions legals o els canvis en l’ambient tècnic.