Política de Seguridad de la Información

Introducción

Esta Política de Seguridad de la Información es el reflejo del compromiso y la implicación de la Dirección General de Mytra Control con la protección de los servicios y los activos de información gestionados por medio de las Tecnologías de la Información y las Comunicaciones (TIC) en la compañía y en su relación con terceros.


La implementación de esta política implica el total compromiso de la Dirección General y de todos los trabajadores de la compañía para garantizar su cumplimiento, definiendo de manera clara y concisa los objetivos que se pretenden alcanzar, junto con su forma de aprobación y de revisión, la comunicación de estos, su alcance y evolución (revisiones, actualizaciones o mejoras), y las responsabilidades correspondientes.

Contexto

En el contexto actual de uso creciente y continuo de tecnologías de la información y acceso abierto a datos, Mytra Control es plenamente consciente de la importancia vital y el gran valor de la información generada y derivada de sus actividades, siendo uno de los activos más importantes de la compañía.


Así, los sistemas de información y su almacenamiento se convierten en una parte crítica y clave para asegurar las principales actividades de comunicación en el día a día de la compañía, tanto con su propio personal, como con clientes, proveedores, partners, etc.


Proteger estos sistemas e información es proteger el negocio y la compañía en su conjunto, resolviendo los retos de seguridad para prevenir, detectar, reaccionar y recuperarse de posibles incidentes.


Por tanto, es esencial establecer un conjunto de global de acciones para el tratamiento y la gestión de los riesgos asociados a la seguridad de la información y de los sistemas, definiendo las bases de fiabilidad y los niveles de riesgo que es tolerable asumir en cada caso, asegurando en la medida de lo posible que la información y los servicios de la compañía no se vean comprometidos por incidentes de seguridad.

Misión

El objetivo de esta política es proteger a Mytra Control de posibles problemas de seguridad con sus sistemas de información y con la información que almacenan, y que podrían tener un impacto negativo en sus operaciones, infraestructuras, generación y continuidad del negocio y/o reputación, desarrollando los mecanismos necesarios para recuperar, en un plazo razonable, la actividad o servicio afectado, minimizando en la medida de lo posible las consecuencias adversas generadas.

Cumplir con los requisitos y mejorar de forma continua la eficacia del Sistema de Gestión de la Seguridad de la Información, mediante la implantación de sistemas de medición y seguimiento de los servicios realizados para nuestros clientes, así como de objetivos de Seguridad, es una parte imprescindible para lograr nuestros objetivos.


Así mismo, es una parte esencial de esta política concienciar a toda la compañía y a nuestros proveedores sobre los problemas de seguridad que pueden existir, y sobre la importancia de su prevención, promoviendo una cultura corporativa de seguridad de la información.


Es imprescindible que todos los empleados, así como todos los empleados de las empresas proveedoras de Mytra Control, independientemente de rango y responsabilidades, conozcan y apliquen buenas prácticas en el uso de sistemas y gestión de información, y conozcan, entiendan y cumplan las normas y las medidas de protección adoptadas en materia de seguridad, así como sus derechos, deberes y responsabilidades. Así mismo, es necesario advertir de los riesgos que puede suponer un mal uso de los dispositivos y tecnologías utilizados en el desarrollo de su trabajo, y de las posibles sanciones aplicables ante negligencias que pongan en riesgo los activos de información de la empresa.


Con el objetivo de documentar áreas específicas de la Política de Seguridad de la Información, se definirán y desarrollarán las políticas y procedimientos detallados y complementarios que se consideren. Al final de este documento se incluye un anexo que recoge un listado completo de esta documentación adicional, que se revisará y actualizará añadiendo las referencias a los nuevos documentos que se generen como apoyo a esta política.   

Responsabilidades

Como máximo responsable del Sistema de Gestión de Seguridad de la Información se nombra a D. Carlos Jiménez Saiz, quien asume las responsabilidades de CISO (Chief Information Security Officer) en Mytra Control S.L.
 

Con el objetivo de supervisar y asegurar la implantación y el cumplimiento de la política de seguridad se creará un comité de gestión que intervendrá en las diferentes áreas de actuación definidas.
 

Los roles y responsabilidades del comité serán:

  • Representante de la Dirección General: D. Carlos Jiménez Saiz

Será el máximo responsable de garantizar la implantación y cumplimiento de la Política de Seguridad de la Información.

 

  • Coordinador del Comité de Seguridad: D. Aitor Ruiz Larrea

Responsable de coordinación de los comités, seguimiento de actas.

  • Expertos en la materia (Subject Matter Expert)

El comité podrá convocar e incluir en sus actividades a las personas que considere oportuno, dentro del ámbito de la compañía, en función de los temas a tratar y las necesidades detectadas en cada momento.

Todo el personal de Mytra Control será responsable de:

  • Conocer y cumplir esta Política de Seguridad de la Información.

  • Proteger en todo momento los activos de información, siendo conscientes de su seguridad y actuando siempre de manera responsable, profesional y ética.

  • Reportar al comité cualquier brecha en la seguridad de la información.

  • Encargarse de la ejecución de las acciones que el comité decida, apruebe y asigne en cada caso para cumplir con la implantación y aplicación de esta política.

Marco normativo

Esta política de seguridad de la información deberá tener en cuenta y adaptarse al siguiente marco normativo, asegurando el conocimiento y cumplimiento por parte de la empresa de las obligaciones legales en materia de seguridad de la información.

 

El incumplimiento de la legislación vigente aplicable en materia de seguridad de la información puede conllevar sanciones penales y económicas, provocando daños significativos en la imagen de la compañía, y pérdida de confianza por parte de los clientes. 

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

  • Real Decreto Legislativo 1/1996, de 12 de abril, texto refundido de la Ley de Propiedad Intelectual, que regula los derechos relativos a las creaciones literarias, artísticas o científicas, en formatos tradicionales (fotografía, pintura, literatura,) y en formatos digitales (imágenes, videos, contenido multimedia, libros digitales …), incluido el software.

  • Leyes de Propiedad Industrial, que protegen diseños industriales, marcas, nombres comerciales, patentes y modelos de utilidad.

Ámbito de aplicación

La presente Política de Seguridad de la Información es aplicable a la totalidad de la infraestructura TIC corporativa existente en Mytra Control, utilizada por todo su personal en sus actividades diarias, y gestionada y administrada por los departamentos de sistemas, así como a todos los sistemas que estén relacionados con el acceso, procedimiento o ejercicio sobre información, y a la información almacenada en los mismos.


En concreto, la presente política se aplica a los servicios TIC, sistemas y otros entornos que conforman la estructura de información de la empresa:

 

  • Sistemas ERP: 

    • Gestión de RRHH

    • Gestión económica

    • Formación

    • Atención al Cliente

  • Infraestructura Cloud & OnPremise

    • Almacenamiento

    • Gestión de infraestructura

    • Intranet

    • Gestión y control de accesos

  • Sistemas ECM:

    • Gestión de Inventarios

    • Gestión de Compras

    • Planificación

Por tanto, quedan fuera del ámbito de aplicación todo dispositivo, proceso, recurso, infraestructura y controles ajenos a Mytra Control o fuera del inventario oficial corporativo, aunque sean utilizados ocasionalmente para acciones de tratamiento de información o laborales, siempre y cuando estos no accedan a la red corporativa o a elementos conectados a la misma, ya que pasarían a estar obligados a cumplir la presente Política de Seguridad de la Información.


Asimismo, quedan excluidos otros servicios gestionados prestados por Mytra Control diferentes a los especificados y, los equipos y activos propiedad del cliente sobre los que se presta el servicio ya que no forman parte del sistema de gestión


Todo dispositivo al que Mytra Control proporcione acceso queda implícitamente obligado al cumplimiento de la política presente, pudiendo ser revocado este acceso si no se garantizan unos mínimos de seguridad, o el acceso suponga potencialmente un incidente o daño sobre la seguridad, imagen corporativa o nombre de Mytra Control.

Organización de la seguridad

El Comité de Seguridad será responsable de la organización de la seguridad en las siguientes áreas:

  1. Confidencialidad: garantizando que la información y los sistemas son solo accesibles por los usuarios autorizados.

  2. Integridad: salvaguardar la precisión e integridad de la información y los métodos de procesamiento.

  3. Disponibilidad: asegurar que los usuarios autorizados tienen acceso a la información y los sistemas requeridos.

Protección de datos de carácter personal

Mytra Control cuenta con las medidas oportunas para garantizar la seguridad en el tratamiento de datos de carácter personal con el nivel de seguridad requerido por la normativa vigente.


El procedimiento interno correspondiente se encuentra convenientemente referenciado en el anexo de políticas y procedimientos complementarios a esta Política de Seguridad de la Información que se adjunta al final de este documento.

Gestión de riesgos

Todos los sistemas sujetos a esta Política de Seguridad de la Información serán objeto de un análisis de vulnerabilidades periódico para evaluar las amenazas y riesgos a los que están potencialmente expuestos, a fin de poder limitarlos o reducirlos.


El Comité de Seguridad establecerá la regularidad con la que se realizará el análisis, así como los supuestos que conllevarían un cambio en las fechas planificadas, estos se pueden tratar de cambios sustanciales en la información o servicios, incidentes graves de seguridad, reporte de vulnerabilidades de alto riesgo, u otros. Además, propondrá medidas de seguridad en caso de que se materialicen estos supuestos siempre que lo vean oportuno para mantener la seguridad de Mytra Control.


Se establecerá una valoración de referencia para los distintos tipos de información y sistemas implicados que permita estandarizar el análisis de vulnerabilidades y facilitar su realización.

Terceras partes

Cuando Mytra Control preste servicios a terceros, contrate servicios especializados externos, establezca acuerdos de colaboración con partners, o contratos de suministro con proveedores, dando soporte a parte de nuestra actividad, se deberá asegurar que estos terceros actores, que pueden tener acceso a parte de nuestra información, comparten el mismo nivel de seguridad que hemos establecido para nuestra compañía, quedando suficientemente protegida en base a los acuerdos y contratos correspondientes. 

PARA CONTACTAR CON NUESTRO EQUIPO DE VENTA O SOPORTE, POR FAVOR LLAME O ESCRÍBANOS:

Tel: 91-880-72-00

Email: info@mytra.es

Calle Punto Net, 4

28805 Alcalá de Henares,

Madrid, Spain

© 2018 by Mytra Control S.L.

Enlaces de Interés:

  • LinkedIn Social Icon
  • Twitter Social Icon
  • Google+ Social Icon
  • YouTube Social  Icon
  • Pinterest Social Icon
  • Instagram Social Icon