Fecha de última actualización: 16/11/2023
INTRODUCCIÓN
MERCÉ V. ELECTROMEDICINA S.L. depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con prontitud y diligencia a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por la norma UNE ISO/IEC 27001, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de conformidad con la normativa de seguridad.
MISIÓN, COMPROMISO Y LIDERAZGO
La Dirección de MERCÉ V. ELECTROMEDICINA S.L. se compromete a facilitar y proporcionar los recursos necesarios para el establecimiento, implantación, mantenimiento y mejora del Sistema de Gestión de la Seguridad de la Información, así como a demostrar liderazgo y compromiso respecto a este, a través de la constitución del Comité de Seguridad, de sus funciones y responsabilidades. Es misión de esta Dirección:
- Mantener el pleno cumplimiento legal.
- Fomentar los planes de formación y concienciación.
- Mantener unos óptimos niveles reputacionales.
- Gestionar de forma eficaz y efectiva los incidentes de seguridad.
- Desarrollar una adecuada política comunicativa y transparente.
- Con carácter general, preservar la confidencialidad, integridad y disponibilidad de la información.
Este compromiso se extiende a las partes interesadas descritas en el contexto del SGSI, para satisfacer sus intereses y expectativas en seguridad de la información.
A nivel estratégico, la seguridad de la información contará con el compromiso y apoyo de todos los niveles directivos de la organización, de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas y sus requisitos de ejecución, para conformar un marco de trabajo completamente coherente y eficaz.
OBJETIVOS DE SEGURIDAD DEL SGSI
Los siguientes objetivos del SGSI implementados por la organización, se basan en la implementación de medidas de seguridad proporcionales a la naturaleza de la información y servicios prestados, de acuerdo con las políticas y normativas de gestión y protección de la información, teniendo en cuenta un adecuado análisis de riesgo. Así siendo, asumimos:
- Seguridad como un proceso integrado por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema.
- Garantizar que los sistemas cumplen los requisitos básicos de seguridad, eliminando las funcionalidades innecesarias e inadecuadas.
- Acciones de concienciación de las personas que intervienen en el/los procesos.
- Proporcionar a todos los miembros de la organización el continuado conocimiento sobre las políticas y Normativas de seguridad de información por medio de acciones de formación y difusión para la protección y correcta utilización de los sistemas de información.
- Gestión de personal y profesionalidad.
- Gestión de la seguridad basada en los riesgos y análisis y gestión de riesgos.
- Prevención, reacción y recuperación, para protección de activos de información en caso de eventuales incidentes de seguridad.
- Gestión de riesgos por medio de análisis periódicos, adecuando el SGSI a nuevas realidades anteriormente no previstas.
- Protección de la información almacenada y en tránsito y continuidad de la actividad.
- Protección de las instalaciones.
- Registros de actividad documentados
- Mejora continua con revisión periódica de la política de seguridad de información adecuándola a las normativas y reglas legales.