OBJETIVO

Establecer las directrices necesarias para el asegurar los sistemas de información necesarios para la prestación de los servicios, todo ello, mediante el cumplimiento de todas las obligaciones legales aplicables dentro de la organización. Tener los componentes del servicio bajo control para seguir prestando los servicios con la calidad que esperan los clientes, evitando problemas que puedan afectar a la seguridad de los sistemas y servicios.

PLANIFICACIÓN

De cara a garantizar una correcta gestión de la seguridad, la organización realiza un estudio de la seguridad a través de un análisis de riesgos y el establecimiento de un plan de tratamiento de riesgos para aquellos riesgos no aceptados por el Comité de Gestión de FIBRATEL.

El procedimiento para llevar a cabo el análisis de riesgos se encuentra documentado en el Procedimiento General de Metodología de Análisis de Riesgos, donde se establecen los requisitos para evaluar las distintas amenazas a las que están expuestos.

IMPLANTACIÓN

Una vez que se ha realizado la evaluación de los riesgos de seguridad y en función de los resultados obtenidos en la fase de planificación, es tarea del Responsable de Seguridad con el apoyo del Comité de Gestión, implantar determinados controles de seguridad para aquellas amenazas que tienen un nivel de riesgo no asumido por la organización, además de operar los procedimientos del sistema de gestión para dar cumplimiento a las exigencias del proceso.

FIBRATEL se asegurará de que todos los empleados y terceros entienden sus responsabilidades y son adecuados para llevar a cabo las funciones que les corresponden, de cara a reducir el riesgo de robo, fraude o uso indebido de los recursos puestos a su disposición. Se prevendrá todo tipo de acceso físico no autorizado y se tomarán medidas de seguridad para evitar pérdidas, daños, robos o circunstancias que pongan en peligro los activos o que puedan provocar la interrupción de las actividades de FIBRATEL.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

REVISIÓN

La política de seguridad de la información y la evaluación de riesgos son revisados regularmente a intervalos planificados ó si ocurren cambios significativos, para asegurar la continua idoneidad, eficacia y efectividad de la misma. De forma genérica son revisados anualmente mediante la realización de la auditoría interna del Sistema Integrado de Gestión o la revisión del sistema por parte de Dirección, la cual, juega un importante papel, realizando un profundo análisis del sistema y detectando posibles mejoras y deficiencias.

MEJORA

Las mejoras de la política de seguridad de la información y del Sistema Integrado de Gestión son establecidas bien durante las fases de revisión o bien en base a aportaciones que se consideren interesantes tanto del personal de la organización como de personal externo.

Los resultados obtenidos en base a la realización de la auditoría interna, son revisados por el Responsable del Sistema Integrado de Gestión y elevados al Comité de Gestión, donde se establecerán oportunidades de mejora del sistema. Dichas mejoras son evaluadas por el Comité de Gestión en sus reuniones periódicas y, una vez estudiada su viabilidad y aceptadas, son implementadas por el Responsable del SIG en colaboración con el Responsable de Seguridad.

Todo el Sistema Integrado de Gestión se enmarca dentro del ciclo de Demming (ciclo PDCA), basado en la planificación de actividades, su implantación y operación, su revisión y su posterior mejora. Todo ello aplicado a la seguridad de la información.

DIFUSIÓN

La política de seguridad será difundida por el Resp. Del Sistema Integrado de Gestión a todo el personal de FIBRATEL relacionado con la prestación de los Servicios y/o con acceso a los sistemas de información de la organización, conservándose evidencia de su recepción, comprensión y aceptación por parte de todos los usuarios. Adicionalmente, se podrá difundir a través de la página Web de FIBRATEL, en tablones de anuncios, intranet ó por cualquier otro medio para conocimiento de todo el personal de la organización, así

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

como de las partes externas interesadas (clientes, suministradores, etc…).

Cualquier petición de información en relación a la política de seguridad de FIBRATEL deberá de ser remitida al Responsable del Sistema Integrado de Gestión, quién será el responsable de dar respuesta a dicha petición.

RESPONSABILIDADES DE LOS USUARIOS

 Los usuarios de los sistemas de información deberán esforzarse en hacer un uso eficiente de los mismos a fin de evitar tráfico innecesario en la red. Será responsabilidad de los propios usuarios la correcta custodia de los activos que tengan en posesión para el desempeño de sus labores contractuales, quedando prohibida la instalación de programas sin la autorización del responsable de seguridad. Los equipos deberán de ser apagados ó bloqueados cuando no se estén utilizando, para evitar el acceso no permitido a los mismos por parte de otro usuario. No divulgar, ni utilizar directamente la información a la que tengan acceso durante su relación laboral con FIBRATEL. Todos los compromisos deberán mantenerse, incluso después de extinguida la relación laboral con la organización.

 Los usuarios de internet y correo electrónico deberán hacer un uso eficiente de las redes, así como preservar la confidencialidad e integridad de la información transmitida a través de estos medios. Se evitará el acceso a páginas de contenido dudoso ó no relacionado con el trabajo desarrollado en FIBRATEL. El almacenamiento de la información peligrosa ó ajena a la actividad desarrollada en

FIBRATEL queda prohibido y la empresa habilitada para poder eliminar dichos contenidos. El usuario no podrá conectar a la red ningún dispositivo sin antes comprobar que dicho elemento no compromete la seguridad e integridad de los activos de la empresa. Si es preciso, debe contactar con el responsable de seguridad para poder proceder a su conexión, una vez comprobado el estado y origen del dispositivo a conectar. Toda incidencia de seguridad detectada deberá comunicarse bien al responsable del área que detecta la incidencia, bien al Centro de Atención al Cliente de FIBRATEL, quienes escalarán la incidencia al responsable de seguridad. Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas de información de FIBRATEL.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

PREMISAS DE LA POLÍTICA DE SEGURIDAD DE FIBRATEL

 Asegurar la confidencialidad, integridad y disponibilidad de la información. Cumplir todos los requisitos legales aplicables a la organización Elaborar un plan de continuidad que permita recuperarse ante un desastre en el menor tiempo posible. Formar y concienciar a todos los empleados en materia de seguridad de la información. Registrar y gestionar adecuadamente todos los incidentes de seguridad ocurridos. Informar a todos los empleados de sus funciones y obligaciones de seguridad y la responsabilidad de cumplirlas. Realizar revisiones periódicas con el objetivo de mejorar de forma continua la seguridad de la información de la organización.