Política de Seguridad de la Información


1. Introducción 

La Política de Seguridad de la Información, (en adelante, la Política) es una política de alto nivel aprobada por el área de Global como representante de todas las personas trabajadoras y áreas transversales de BASETIS, tiene como finalidad la adopción de un conjunto de medidas destinadas a preservar la confidencialidad, integridad y disponibilidad de la información, que constituyen los tres componentes básicos de la seguridad de la información.

En toda organización existe información confidencial, en mayor o menor grado, cuya pérdida o uso indebido puede dañar su reputación. Asimismo, el deterioro o indisponibilidad de los sistemas de información puede interrumpir el normal desarrollo de la operativa, produciendo efectos negativos en la calidad del servicio y los beneficios de la compañía.

A tal efecto, BASETIS se compromete a desarrollar un conjunto de normas de uso, procedimientos, protocolos, manuales, guías, etc. que reflejan los requerimientos legales y éticos aplicables a las actuaciones dentro de la organización y que a su vez cubren todos los aspectos que se presentan en esta Política. Con esto se pretende mitigar los riesgos asociados a los sistemas de información de BASETIS describiendo lo que se espera de todas las partes interesadas que en el desarrollo de sus funciones puedan tener acceso a información, sistemas de información o recursos.


2. Objetivo

El objetivo principal de la presente Política de alto nivel es definir los principios y las reglas básicas para la gestión de la seguridad de la información. El fin último es lograr que BASETIS como organización garantice niveles óptimos de seguridad, permitiendo velar porque dicha información (sea propia o de terceros) mantenga la integridad, confidencialidad y disponibilidad. 

Este documento está disponible para todas las partes interesadas a modo de información documentada y se comunica a toda la organización.


3. Alcance

La Política es aplicable a todas las personas trabajadoras de BASETIS, así como también a las empresas proveedoras de servicios a las que les aplique, y a todos los servicios que se llevan a cabo como actividad de negocio: Artificial Intelligence, Data Integration & Analytics, Design, Development, Infrastructure, Management & Business, Mobile.

 


4. Principios rectores o compromisos

BASETIS, establece los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de la información, y a los cuales se compromete:

  • Gestión de los riesgos:

    El análisis de riesgos será parte esencial del proceso de seguridad de la información. Esta gestión de los riesgos permitirá el mantenimiento de un entorno controlado. 

  • Normas y procedimientos:

    Se definirá una completa normativa de seguridad que regule las condiciones en las que la empresa, dentro del alcance establecido, debe desarrollar su actividad para respetar los requerimientos de seguridad y formas de actuación necesarias para garantizar el correcto desarrollo de esta Política.

  • Alcance estratégico:

    La Seguridad de la Información deberá contar con el compromiso y apoyo de todas las personas trabajadoras de Basetis y con el área de Global como garante de alinear el propósito de todas las áreas que conforman la organización, asumiendo y dando soporte a iniciativas transversales.

  • Seguridad por defecto:

    La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información.

  • Mejora Continua:

    Para garantizar el mantenimiento continuo de los niveles de seguridad y la eficacia del Sistema, se deberán llevar a cabo auditorías internas y externas, revisiones periódicas, definición de planes de formación y concienciación en materia de seguridad, elaboración de un plan de tratamiento de riesgos, etc.


5. Estructura de control

Nuestro Sistema de Gestión de Seguridad se compone de los siguientes roles:

Comité de Seguridad

  • CISO “Responsable de Seguridad”
  • CSO “Chief Security Office”
  • Responsable del Sistema de Gestión de Seguridad de la Información (RSGSI)
  • La persona designada como Delegada de Protección de Datos (DPO)
  • Un representante del equipo ISO27001
  • Un representante del área de Global.
  • Un representante del área de Legal
  • Un representante del equipo de Desarrollo/Proyectos 
  • Un representante del área de Sistemas y Helpdesk.

6. Principales normas de nuestro Sistema

Nuestro Sistema de Gestión de Seguridad se basa en un conjunto de normas que se reflejan en políticas específicas dentro del Sistema, y las cuales engloban los siguientes aspectos:

  • Confidencialidad de la Información

Se protegerá la información a la que tienen acceso los usuarios, contra revelaciones no autorizadas o accidentales, modificación, destrucción o mal uso, cualquiera que sea el soporte en que se encuentre contenida esa información. Asimismo, se velará por preservar la confidencialidad de información comercialmente sensible de clientes a la que Basetis pueda tener acceso. 

  • Privacidad y protección de los datos personales

Con el fin de preservar la confidencialidad de los datos y la información, BASETIS se encarga de asegurar el cumplimiento de las directrices vigentes en materia de protección de datos personales, las cuales se comunican a todas las partes interesadas, y se ponen en práctica dentro de todos los procesos de la organización.

  • Propiedad intelectual

Se garantizará el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual. Se  tendrán en cuenta las normas que regulan la materia tanto dentro de los procesos internos de la organización como en todas las relaciones comerciales con clientes y proveedores.

  • Control de acceso físico a las instalaciones

Se controlará el acceso de terceras personas (externos) a las instalaciones de BASETIS para garantizar la seguridad y confidencialidad de la información dentro de nuestras oficinas. A tal efecto, nuestra política de acceso marca las pautas para asegurar el control de todas las personas que acceden a nuestras oficinas.

  • Uso apropiado de los recursos y equipos

Los recursos que BASETIS pone a disposición de sus personas trabajadoras, independientemente del tipo que sean (informáticos, datos, software, redes, sistemas de comunicación, etc.), están disponibles exclusivamente para cumplimentar las obligaciones y propósito de la operativa para la que fueron diseñados e implantados. Se establece como medida de seguridad el bloqueo automático en todos los equipos asignados a los usuarios.

  • Uso de softwares y protección frente a malware

El área pertinente dentro de la organización se encargará de garantizar y controlar el uso adecuado de softwares instalados en los diferentes equipos.

  • Intercambio de información

BASETIS se asegurará de hacer saber a todas sus personas trabajadoras aquellas actividades prohibidas con relación al uso e intercambio de información en el desarrollo de sus actividades laborales a través de las respectivas políticas y formaciones/concienciación, incluyendo el manejo de información que contengan datos de carácter personal.

  • Uso del correo electrónico

Los usuarios que accedan a los sistemas de información de BASETIS dispondrán de una cuenta de correo electrónico específica y única, asignada exclusivamente a dicho usuario (nombreusuario[a]basetis.com).

  • Conectividad a Internet

El Internet se considera una herramienta de trabajo, por lo que todas las actividades en Internet deberán estar en relación con tareas y actividades de trabajo.

  • Responsabilidad de los usuarios

El usuario será responsable de todas las acciones registradas en los sistemas informáticos de BASETIS con su identificador, asimismo deberá asegurarse de seguir las instrucciones para la gestión de sus contraseñas y mantener su puesto de trabajo limpio y despejado.

  • Identificación de usuarios y contraseñas

Todas las personas trabajadoras están obligadas a utilizar los recursos de BASETIS y los datos contenidos en ellos sin incurrir en actividades que puedan ser consideradas ilícitas o ilegales.

  • Gestión de accesos

Se llevará un registro, concesión, alteración y revocación de accesos a los usuarios, aplicable a todos los sistemas de Información de BASETIS.

  • Seguridad para la externalización

Los proveedores serán debidamente evaluados y deberán seguir una serie de requisitos definidos tanto en los respectivos contratos de servicio como en la política de relación con proveedores.

  • Incidencias

En el caso de detectarse alguna incidencia relacionada con los sistemas de información, se procederá de acuerdo al procedimiento de gestión de incidentes de seguridad definido.


7. Actualización de la Política

Debido a la propia evolución de la tecnología, las amenazas de seguridad y a las nuevas aportaciones legales en la materia,  Basetis se reserva el derecho a modificar esta Política cuando sea necesario. La revisión incluirá oportunidades de evaluación para mejorar la política y un acercamiento a la gestión de seguridad de información en respuesta a los cambios del ambiente organizacional, circunstancias del negocio, condiciones legales o cambios en el ambiente técnico.