Política de seguridadObjetivos de Seguridad de la Información y planificación para su ejecución
El objetivo principal es garantizar a los clientes y usuarios de los servicios de SW Hosting el acceso a la información con la calidad y el nivel de servicio que se requieren para el desempeño acordado, así como evitar pérdidas o alteración de la información y accesos no autorizados a la misma.
Los objetivos de seguridad de la información se establecerán en las funciones pertinentes, enfocados a la mejora y teniendo en cuenta:
1. Cambios en las necesidades de las partes interesadas.
2. Los resultados de la apreciación y del tratamiento de los riesgos para garantizar la confidencialidad, integridad y disponibilidad de la información.
3 Oportunidades de mejora encontradas durante la operación del Sistema de Gestión de la Seguridad de la Información (SGSI).
4. Cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeta SW Hosting, especialmente en materia de protección de datos personales.
En la fijación de objetivos, se debe tener en cuenta que los mismos deben ser medibles y alcanzables, de ahí que la planificación para su consecución deba incluir:
1. Lo que se va a hacer.
2. Los recursos necesarios.
3. Quién será el responsable.
4. El plazo para su consecución.
5. Indicadores para evaluar los resultados.
La Dirección General, junto con el Responsable del SGSI, se responsabilizarán de definir los objetivos de seguridad de la información para SW Hosting. Éstos deben ser específicos y consecuentes con su Política de Seguridad de la Información, misión, visión y valores.
Objetivos del SGSI
El SGSI de SW Hosting debe garantizar:
1. Que se desarrollen políticas, normativas, procedimientos y guías operativas para apoyar la Política de Seguridad de la Información.
2. Que se identifique la información que deba estar protegida.
3. Que se establezca y mantenga la gestión del riesgo alineada con los requerimientos de la política del SGSI y la estrategia de SW Hosting.
4. Que se establezca una metodología para la apreciación y tratamiento del riesgo.
5. Que se establezcan criterios con los que medir el nivel de cumplimiento del SGSI.
6. Que se revise el nivel de cumplimiento del SGSI.
7. Que el personal reciba formación y concienciación sobre la seguridad de la información.
8. Que todo el personal sea informado sobre la obligación del cumplimiento de la Política de Seguridad de la Información.
9. Que se realice la mejora continua sobre el SGSI.
Gestión del riesgo
La gestión de la Seguridad de la Información en SW Hosting está basada en el riesgo, de conformidad con la Norma internacional ISO/IEC 27001:2013.
Se articula mediante un proceso general de apreciación y tratamiento del riesgo, que potencialmente pueden afectar a la seguridad de la información de los servicios prestados, consistente en:
1. Identificar las amenazas, que aprovecharán vulnerabilidades de los Sistemas de Información que soportan, o de los que depende, la seguridad de la información.
2. Analizar el riesgo, en base a la consecuencia de materializarse la amenaza y de la probabilidad de ocurrencia.
3. Evaluar el riesgo, según un nivel previamente establecido y aprobado de riesgo aceptable, tolerable e inaceptable.
4. Tratar el riesgo inaceptable, mediante los controles o salvaguardas adecuadas.
Dicho proceso es cíclico y debe llevarse a cabo de forma periódica, como mínimo una vez al año.
Liderazgo y compromiso de la dirección
La Dirección de SW Hosting se compromete a facilitar y proporcionar los recursos necesarios para el establecimiento, implantación, mantenimiento y mejora del SGSI de la empresa, así como a demostrar liderazgo y compromiso, a través de la constitución del Comité de Seguridad de la Información que tendrá la responsabilidad de:
1. Asegurar el establecimiento de la presente política y los objetivos de la seguridad de la información, y que estos sean compatibles con la estrategia de la empresa
2. Asegurar la integración y el cumplimiento de los requisitos aplicables del SGSI en los procesos de la empresa.
3. Asegurar que los recursos necesarios para el SGSI estén disponibles.
4. Comunicar la importancia de una gestión de la seguridad eficaz y conforme con los requisitos del SGSI
5. Asegurar que el SGSI consigue los resultados previstos.
6. Dirigir y apoyar a las personas para contribuir a la eficacia del SGSI.
7. Promover la mejora continua.
Organización y responsabilidades
1. La Dirección General de SW Hosting es la responsable de aprobar la presente política.
2. El Comité de Seguridad de la Información es responsable de revisar la presente política.
3. El Responsable de seguridad del SGSI es el responsable de mantener la presente política.
Aprobación, revisión, difusión y aplicación de la política
SW Hosting ha desarrollado la presente Política de Seguridad de la Información, que ha sido aprobada por la Dirección General y dada a conocer a todo el personal de la empresa y partes interesadas.
La presente Política de Seguridad de la Información será examinada en las revisiones del sistema por la Dirección, a través del Comité de Seguridad de la Información, siempre que se produzcan cambios significativos, como mínimo, una vez al año.
La Dirección General dotará de los recursos necesarios para la aplicación efectiva de esta política, y para su buen desarrollo, tanto en las actividades de implantación como en su posterior mantenimiento y mejora de todo el SGSI.
Madrid, 1 de enero de 2022
La Dirección
