1         PRINCIPIOS GENERALES DE SEGURIDAD DE LA INFORMACIÓN

• Esta Política persigue la adopción, implantación y operatividad continuada de acciones destinadas a preservar los componentes básicos de la seguridad de la información:

• Confidencialidad: Garantizar que sólo accedan a los datos y a los sistemas las personas debidamente autorizadas.

• Integridad: Garantizar la exactitud de la información y de los sistemas contra la alteración, pérdida o destrucción, ya sea de forma accidental o intencionada.

• Disponibilidad: Garantizar que la información y los sistemas pueden ser utilizados en la forma y tiempo requeridos.

• Resiliencia: Garantizar la capacidad de la organización de soportar y recuperarse ante desastres y perturbaciones, lo que implica un aprendizaje continuo de situaciones críticas que posibiliten una recuperación de las mismas en condiciones reforzadas.

• La Política es de aplicación en todas las fases del ciclo de vida de la información: generación, distribución, almacenamiento, procesamiento, transporte, consulta y destrucción, y de los sistemas que los procesan: análisis, diseño, desarrollo, implantación, explotación y mantenimiento.

• La seguridad de la información incumbe a todo el personal de ECIX por lo que está Política debe ser conocida, comprendida y asumida por todos los niveles de la Organización. La Política debe ser comunicada fehacientemente a toda la organización, tanto al personal propio como a empresas colaboradoras externas, y estar a disposición de las partes interesadas.

• Las relaciones con terceras empresas colaboradoras deben de estar amparadas siempre por los correspondientes contratos de prestación de servicios, incluyendo cláusulas de garantías en el uso y tratamiento de la información

1.1               APLICACIÓN DE LA POLÍTICA DE SEGURIDAD

Con objetivo de aplicar los principios expuestos en esta política, se precisa la definición, elaboración, implantación y mantenimiento de Planes Estratégicos de Seguridad. La elaboración de los Planes Estratégicos de Seguridad deberá acompañarse de procesos formales de análisis y gestión de riesgos que permitan implantar las soluciones idóneas.

A nivel operativo, ECIX desarrollará sus propios procedimientos, estándares y guías de seguridad, que garanticen la integridad, confidencialidad, disponibilidad y resiliencia de la información.

Se implantarán los procesos de gestión de la seguridad necesarios, acordes con el estándar ISO27001 para asegurar el seguimiento efectivo y eficiente de las acciones en seguridad, así como de los procesos de revisión y de mejora de los proyectos de seguridad y de las contramedidas definidas.

1.2               CONFORMIDAD LEGAL

Por la naturaleza y objeto del negocio de ECIX se debe observar el cumplimiento de normas de rango superior (leyes, normas y disposiciones legales) que tendrán preferencia, cuando ello aplique sobre las directrices de esta política de seguridad de la información:

• Normas generales y/o deontológicas de ECIX.

• Normativa española que regule esta actividad.

• Normas españolas que provengan de organismos supranacionales de los que España sea miembro.

• Normativa comunitaria y /o extracomunitaria, en razón a las áreas de prestación de servicios por parte de ECIX.

1.3               CLASIFICACIÓN Y TRATAMIENTO DE LA INFORMACIÓN

Toda información deberá estar clasificada en virtud de su importancia para la organización y ha de ser tratada según dicha clasificación, acorde a lo dispuesto en la normativa sobre clasificación y tratamiento de la información.

1.4               FORMACIÓN Y CONCIENCIACIÓN

El método más efectivo de mejorar la seguridad es mediante la formación continuada y su incorporación a la actividad laboral.

Dentro de los planes de formación se incluirán cursos específicos sobre seguridad de la información acorde con el área destinataria: Dirección, técnicos, administradores y usuarios de los sistemas. Asimismo, se realizarán campañas de concienciación sobre seguridad dirigidas a todo el personal y proveedores a través del medio que se considere más efectivo.

1.5       AUDITORÍA

Los sistemas de información se someterán periódicamente a auditorías internas y externas con la finalidad de verificar el correcto funcionamiento de los planes de seguridad, determinando grados de cumplimiento y recomendando medidas correctoras, consiguiendo, así, una mejora continua.