1         PRINCIPIOS GENERALES DE SEGURIDAD DE LA INFORMACIÓN

 

  • Esta Política persigue la adopción, implantación y operatividad continuada de acciones destinadas a preservar los componentes básicos de la seguridad de la información:
  • Confidencialidad: Garantizar que sólo accedan a los datos y a los sistemas las personas debidamente autorizadas.
  • Integridad: Garantizar la exactitud de la información y de los sistemas contra la alteración, pérdida o destrucción, ya sea de forma accidental o intencionada.
  • Disponibilidad: Garantizar que la información y los sistemas pueden ser utilizados en la forma y tiempo requeridos.
  • Resiliencia: Garantizar la capacidad de la organización de soportar y recuperarse ante desastres y perturbaciones, lo que implica un aprendizaje continuo de situaciones críticas que posibiliten una recuperación de las mismas en condiciones reforzadas.
  • La Política es de aplicación en todas las fases del ciclo de vida de la información: generación, distribución, almacenamiento, procesamiento, transporte, consulta y destrucción, y de los sistemas que los procesan: análisis, diseño, desarrollo, implantación, explotación y mantenimiento.
  • La seguridad de la información incumbe a todo el personal de ECIX por lo que está Política debe ser conocida, comprendida y asumida por todos los niveles de la Organización. La Política debe ser comunicada fehacientemente a toda la organización, tanto al personal propio como a empresas colaboradoras externas, y estar a disposición de las partes interesadas.
  • Las relaciones con terceras empresas colaboradoras deben de estar amparadas siempre por los correspondientes contratos de prestación de servicios, incluyendo cláusulas de garantías en el uso y tratamiento de la información

 

1.1               APLICACIÓN DE LA POLÍTICA DE SEGURIDAD

Con objetivo de aplicar los principios expuestos en esta política, se precisa la definición, elaboración, implantación y mantenimiento de Planes Estratégicos de Seguridad. La elaboración de los Planes Estratégicos de Seguridad deberá acompañarse de procesos formales de análisis y gestión de riesgos que permitan implantar las soluciones idóneas.

 

A nivel operativo, ECIX desarrollará sus propios procedimientos, estándares y guías de seguridad, que garanticen la integridad, confidencialidad, disponibilidad y resiliencia de la información.

 

Se implantarán los procesos de gestión de la seguridad necesarios, acordes con el estándar ISO27001 para asegurar el seguimiento efectivo y eficiente de las acciones en seguridad, así como de los procesos de revisión y de mejora de los proyectos de seguridad y de las contramedidas definidas.

 

1.2               CONFORMIDAD LEGAL

Por la naturaleza y objeto del negocio de ECIX se debe observar el cumplimiento de normas de rango superior (leyes, normas y disposiciones legales) que tendrán preferencia, cuando ello aplique sobre las directrices de esta política de seguridad de la información:

 

  • Normas generales y/o deontológicas de ECIX.
  • Normativa española que regule esta actividad.
  • Normas españolas que provengan de organismos supranacionales de los que España sea miembro.
  • Normativa comunitaria y /o extracomunitaria, en razón a las áreas de prestación de servicios por parte de ECIX.

1.3               CLASIFICACIÓN Y TRATAMIENTO DE LA INFORMACIÓN

Toda información deberá estar clasificada en virtud de su importancia para la organización y ha de ser tratada según dicha clasificación, acorde a lo dispuesto en la normativa sobre clasificación y tratamiento de la información.

 

1.4               FORMACIÓN Y CONCIENCIACIÓN

El método más efectivo de mejorar la seguridad es mediante la formación continuada y su incorporación a la actividad laboral.

 

Dentro de los planes de formación se incluirán cursos específicos sobre seguridad de la información acorde con el área destinataria: Dirección, técnicos, administradores y usuarios de los sistemas. Asimismo, se realizarán campañas de concienciación sobre seguridad dirigidas a todo el personal y proveedores a través del medio que se considere más efectivo.

 

1.5       AUDITORÍA

Los sistemas de información se someterán periódicamente a auditorías internas y externas con la finalidad de verificar el correcto funcionamiento de los planes de seguridad, determinando grados de cumplimiento y recomendando medidas correctoras, consiguiendo, así, una mejora continua.