POLÍTICA ISO-27001

Política de seguridad en la información

 

1. INTRODUCCIÓN

El presente documento tiene por objeto establecer la política de seguridad de la información adecuada a los propósitos del grupo AIA, con la voluntad de conseguir que los principios de la Seguridad de la Información formen parte de su cultura de la organización, para lo cual ha implementado un Sistema de Gestión de la Seguridad de la Información en base al estándar ISO/IEC 27001 que determina las directrices que deben seguirse para proteger la información de una amplia gama de amenazas, a fin de:

  • Garantizar la seguridad de las operaciones realizadas, mediante los Sistemas de Información.
  • Minimizar los riesgos de daño.
  • Asegurar el cumplimiento de los objetivos de la Organización.

Y garantizar a los clientes y usuarios del Grupo AIA el acceso a la información con la seguridad y el nivel de servicio que se requieren para el desempeño acordado, así como evitar serias pérdidas o alteración de la información y accesos no autorizados a la misma.

Esta Política se desarrollará mediante normativa, procedimientos, instrucciones operativas, guías, manuales y todos aquellos instrumentos organizativos considerados útiles para alcanzar sus objetivos y será mantenida, actualizada y adecuada a los fines de la organización

Este documento está sujeto a revisión, aprobación, distribución, derogación y destrucción según establezca el responsable del Sistema de Gestión.

2. ÁMBITO

Esta política afecta a todo el personal de grupo AIA, y aquellos que intervengan en la gestión de la Información incluyendo colaboradores, proveedores, que debe conocer y cumplir.

 

3. OBJETIVOS DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Se establece un marco para la consecución de los objetivos de seguridad de la información para el grupo AIA, en base a las dimensiones básicas de la seguridad:

  • Confidencialidad: Propiedad por la cual únicamente puede acceder a la información gestionada por grupo AIA, quién esté autorizado para ello, previa identificación, en el momento y por los medios habilitados.
  • Integridad: propiedad que garantiza la validez, exactitud y completitud de la información gestionada por grupo AIA, siendo su contenido el facilitado por los afectados sin ningún tipo de manipulación y permitiendo que sea modificada únicamente por quién esté autorizado para ello.
  • Disponibilidad: propiedad de ser accesible y utilizable en los intervalos acordados. La información gestionada por grupo AIA es accesible y utilizable por los clientes y usuarios autorizados e identificados en todo momento, quedando garantizada su propia persistencia ante cualquier eventualidad prevista.

Adicionalmente, dado que cualquier Sistema de Gestión de la Seguridad de la Información debe cumplir con la legislación vigente, se atenderá al siguiente principio:

  • Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeta grupo AIA, especialmente en materia de protección de datos personales.

 

Se persigue desde Grupo AIA el seguimiento y gestión de los siguientes objetivos de Seguridad de la Información:

  • Salvaguardar los activos de la Organización dentro del ámbito de la seguridad de la información y la continuidad de negocio, mediante la implantación de controles y salvaguardas. Esto permitirá reducir el impacto o la probabilidad de ocurrencia de las amenazas que pudieran materializarse sobre los mismos, a la vez que se reduce su efecto sobre la actividad de la compañía.
  • Mitigar los efectos adversos de los incidentes de seguridad.
  • Establecer mecanismos de clasificación de la información que permitan proteger adecuadamente cada activo en base a su criticidad.
  • Definir los roles y responsabilidades en materia de seguridad y continuidad necesarias para garantizar la correcta gestión del sistema de SGSI.
  • Elaborar un cuerpo documental adscrito a la presente Política que garantice el correcto gobierno del sistema de SGSI.
  • Definir claramente las acciones asociadas a los incumplimientos de la Política de Seguridad.
  • Evaluar los riesgos a los que se ven sometidos los activos dentro del ámbito de la seguridad/continuidad de negocio, lo que debe permitir la correcta definición y aplicación de controles y salvaguardas para protegerlos, así como su necesidad para asegurar la continuidad de la actividad de la compañía en circunstancias de contingencia.
  • Verificar el correcto funcionamiento de las salvaguardas, controles y planes de contingencia mediante la realización de auditorías internas independientes.
  • Llevar a cabo programas de formación que eduquen y conciencien a los empleados en materia de Seguridad de la Información y Continuidad de Negocio.
  • Evaluar y hacer cumplir la legislación vigente aplicable al sistema gestión de la Seguridad de la Información de Grupo AIA.
  • Defender los activos frente a ataques internos o externos para que los eventos de seguridad no se conviertan en incidentes de seguridad o eventos de interrupción de actividad.
  • Controlar el funcionamiento de los controles y salvaguardas de seguridad de la información, así como de los planes de contingencia que se definan como respuesta a los escenarios de riesgo identificados.
  • Mejorar continuamente el sistema de SGSI que se ha implantado para la gestión de la Seguridad de la Información y la Continuidad de Negocio.

Para la consecución de todos los objetivos anteriormente descritos, este sistema SGSI contará con el compromiso de la Dirección, expresado en la asignación de los recursos necesarios y en la supervisión activa del mismo.

 

4. COMPROMISOS DE LOS REQUISITOS APLICABLES A LA SEGURIDAD

4.1 GESTIÓN DE RIESGOS

La gestión de la Seguridad de la Información en Grupo AIA está basada en el riesgo, de conformidad con la Norma internacional ISO/IEC 27001

Se articula mediante un proceso general de apreciación y tratamiento del riesgo, que potencialmente pueden afectar a la seguridad de la información de los servicios prestados, consistente en:

  • Identificar las amenazas, que aprovecharán vulnerabilidades de los Sistemas de Información que soportan, o de los que depende, la seguridad de la información.
  • Analizar el riesgo, en base a la consecuencia de materializarse la amenaza y de la probabilidad de ocurrencia.
  • Evaluar el riesgo, según un nivel previamente establecido y aprobado de riesgo ampliamente aceptable, tolerable e inaceptable.
  • Tratar el riesgo inaceptable, mediante los controles o salvaguardas adecuadas.

Dicho proceso es cíclico y se revisa de forma periódica, como mínimo una vez al año. Para cada riesgo identificado se asignará un propietario, pudiendo recaer múltiples responsabilidades en una misma persona o comité.

4.2 ROLES Y RESPONSABILIDADES

La seguridad de la información se organiza de acuerdo a unos roles y comités involucrados en el ámbito de esta, nombrando:

  • El Responsable de Seguridad del SIG.
  • Responsables en áreas específicas de la empresa.
  • En materia de Datos Personales, la responsabilidad seguirá estando centralizada en el Responsable de Seguridad, si bien éste podrá asignar el rol de “Delegado de Protección de Datos” (nomenclatura RGPD) a otra persona, la cual puede llegar a ser un profesional externo contratado.

Se establece asimismo el Comité de Seguridad de la empresa dirigido por el CEO y compuesto por el Responsable de Seguridad y todos los jefes de las distintas áreas en las que se divide la empresa.

4.3 FORMACIÓN Y CONCIENCIACIÓN

Grupo AIA establece unos planes de formación y concienciación para todos sus empleados en relación con la Seguridad de la Información, que se revisaran anualmente que incluyen la propuesta de Grupo AIA, así como las demandas de sus empleados.

4.4 AUDITORÍAS

El Responsable de Seguridad, verifica, que se dispone de un plan de auditorías internas y externas, que se realizan de forma periódica almeno una vez al año.

 

5. MEJORA CONTINUA DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

La Dirección General de Grupo AIA, garantiza y verifica, el grado de cumplimiento de las directrices de esta Política y que éstas son operadas e implementadas correctamente, responsabilizándose del cumplimiento de las medidas correctivas que hayan podido determinarse con el fin de mantener la mejora continua.

 

6. DIVULGACIÓN DE LA POLÍTICA

El Responsable de Seguridad del Sistema garantiza que todo el personal involucrado en Grupo AIA conoce esta política, sus objetivos y procesos, a través de su divulgación, acciones formativas y acciones de concienciación.

Así mismo también garantiza la distribución de los documentos que aplican a cada nivel, de acuerdo con los diferentes roles definidos en la compañía y las partes interesadas externas, clientes y proveedores.

 

7. SANCIONES

El incumplimiento de la Política de Seguridad de la Información y demás normativas y procedimientos que la desarrollen, tendrá como consecuencia la aplicación de sanciones, conforme a la magnitud y características del aspecto del incumplimiento y de acuerdo con la legislación vigente.

 

8. VALIDEZ Y ACTUACIÓN

Esta política es efectiva desde el momento de su publicación y se revisa como mínimo una vez al año.

El objetivo de las revisiones periódicas es adecuarla a los cambios en el contexto de la organización, con atención a las cuestiones externas e internas, analizándose las incidencias acaecidas de seguridad de la información y las no conformidades encontradas en el Sistema de Seguridad de la Información. Todo ello armonizado con los resultados de los diferentes procesos de apreciación del riesgo.

Al revisar la Política también se revisará todas las Normas y demás documentos que la desarrollan, siguiendo un proceso de actualización periódica sujeto a los cambios relevantes que pudieran acontecer: crecimiento de la empresa y cambios organizacionales, cambios en la infraestructura, desarrollo de nuevos servicios, entre otros.