1. Política de Seguridad de la Información

La seguridad de la información es un conjunto de medidas preventivas y reactivas cuyo objetivo es proteger la información del acceso no autorizado, uso, divulgación, interrupción o destrucción no autorizada.

Como respuesta a un nuevo entorno tecnológico donde la convergencia entre la informática y las comunicaciones están facilitando un nuevo paradigma de productividad para las empresas, ORIZON está altamente comprometido con mantener un servicio competitivo a través de ofrecer un modelo de negocio responsable basado en la búsqueda permanente del equilibrio económico, social y ambiental, donde el desarrollo de buenas prácticas en Seguridad de la Información es fundamental para conseguir los objetivos de confidencialidad, integridad, disponibilidad, legalidad y privacidad de toda la información gestionada.

En consecuencia, a lo anterior, ORIZON define los siguientes principios de aplicación a tener en cuenta en el marco del Sistema de Gestión de Seguridad de la Información (SGSI):

  • Confidencialidad: La información tratada por ORIZON será conocida exclusivamente por las personas autorizadas, previa identificación, en el momento y por los medios habilitados.
  • Integridad: La información tratada por ORIZON será completa, exacta y válida, siendo su contenido el facilitado por los afectados sin ningún tipo de manipulación.
  • Disponibilidad: La información tratada por ORIZON estará accesible y utilizable por los usuarios autorizados e identificados en todo momento, quedando garantizada su propia persistencia ante cualquier eventualidad prevista.
  • Legalidad: ORIZON garantizará el cumplimiento de toda legislación o requisito contractual que le sea de aplicación. Y en concreto, la normativa en vigor relacionada con el tratamiento de datos de carácter personal.
  • Privacidad: ORIZON realiza tratamientos en los que hace uso de datos de carácter personal sometidos a lo dispuesto por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Todos los sistemas de información de ORIZON se ajustarán a la seguridad requerida por la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Tratamiento de Datos.

ORIZON para el correcto desempeño de sus funciones de negocio se basa y ayuda del tratamiento de diferentes tipos de datos e información, sustentados por los sistemas, programas, infraestructuras de comunicaciones, ficheros, bases de datos, archivos, etc., constituyendo éstos, uno de los activos principales de ORIZON, de tal manera que el daño o pérdida de estos inciden en la realización de sus servicios y pueden poner en peligro la continuidad de la organización. Para que esto no suceda, se ha diseñado una Política de Seguridad de la Información cuyos fines principales son:

  • Proteger, mediante controles/medidas, los activos frente a amenazas que puedan derivar en incidentes de seguridad.
  • Paliar los efectos de los incidentes de seguridad.
  • Establecer un sistema de clasificación de la información y los datos con el fin de proteger los activos críticos de información.
  • Definir las responsabilidades en materia de seguridad de la información generando la estructura organizativa correspondiente.
  • Elaborar un conjunto de reglas, estándares y procedimientos aplicables a los órganos de dirección, empleados, socios, proveedores de servicios externos, etc.
  • Especificar los efectos que conlleva el incumplimiento de la Política de Seguridad en el ámbito laboral.
  • Evaluar los riesgos que afectan a los activos con el objeto de adoptar las medidas/controles de seguridad oportunos.
  • Verificar el funcionamiento de las medidas/controles de seguridad mediante auditorías de seguridad internas realizadas por auditores independientes.
  • Formar a los usuarios en la gestión de la seguridad y en tecnologías de la información y las comunicaciones.
  • Gestión de redes internas: Controlar el tráfico de información y de datos a través de infraestructuras de comunicaciones o mediante el envío de soportes de datos ópticos, magnéticos, en papel, etc.
  • Observar y cumplir la legislación en materia de protección de datos, propiedad intelectual, laboral, de servicios de la sociedad de la información, penal, etc., que afecte a los activos de ORIZON.
  • Proteger el capital intelectual de la organización para que no se divulgue ni se utilice ilícitamente.
  • Reducir las posibilidades de indisponibilidad a través del uso adecuado de los activos de la organización.
  • Defender los activos ante ataques internos o externos para que no se transformen en incidentes de seguridad.
  • Controlar el funcionamiento de las medidas de seguridad averiguando el número de incidencias, su naturaleza y efectos.
  • Gestionar los incidentes de seguridad que se puedan presentar y afectar la seguridad de la información y la privacidad. En caso de ocurrencia, se notificará sin dilación a las autoridades competentes. De igual forma crear y mantener actualizada la base de datos de conocimiento que sirva de consulta frente a futuras incidencias.
  • Procurar la continuidad de negocio estableciendo mecanismos de respaldo tanto de la información como de las telecomunicaciones.
  • Emplear mecanismos de desarrollo seguro para las aplicaciones desarrolladas internamente y validar que los servicios de software contratados cumplan con los requisitos de seguridad que permitan proteger la información de ORIZON.

La Dirección de ORIZON asume la responsabilidad de apoyar y promover el establecimiento de las medidas organizativas, técnicas y de control necesarias para el cumplimiento de la presente Política de Seguridad de la Información. Así como, de proveer de aquellos recursos que sean necesarios para resolver con la mayor rapidez y eficacia posible, las no conformidades e incidentes de seguridad de la información que pudiesen surgir, y la puesta en funcionamiento de las medidas necesarias para que éstas no vuelvan a ocurrir. 

Esta Política será mantenida, actualizada y adecuada a los fines de la organización, alineándose con el contexto de gestión de riesgos de la organización. A este efecto se revisará a intervalos planificados o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

De igual forma, para gestionar los riesgos que afronta ORIZON se establece un procedimiento de evaluación de riesgos formalmente definido.

Por su parte, todas las políticas y procedimientos incluidos en el SGSI serán revisados, aprobados e impulsados por la Dirección de ORIZON.

2.  Entrada en vigor

La presente Política de Seguridad de la información es efectiva desde el día siguiente al de su fecha de aprobación por la Dirección de ORIZON y hasta que sea reemplazada por una nueva Política.