En vista de la importancia para el correcto desarrollo de los procesos de negocio, los sistemas de información deben estar protegidos adecuadamente.

Una protección fiable permite a la organización percibir mejor sus intereses, llevar a cabo eficientemente sus obligaciones en seguridad y privacidad de la información para brindar de forma óptima el servicio a sus clientes. La inadecuada protección afecta al rendimiento general de una empresa y puede afectar negativamente a la imagen, reputación y confianza de los clientes.

El objetivo de la seguridad y privacidad de la información es asegurar la continuidad del negocio en la organización y reducir al mínimo el riesgo de daño mediante la prevención de incidentes de seguridad, así como reducir su impacto potencial cuando sea inevitable.

Para lograr este objetivo, la organización ha desarrollado una metodología de gestión del riesgo que permite analizar regularmente el grado de exposición de nuestros activos importantes frente a aquellas amenazas que puedan aprovechar ciertas vulnerabilidades e introduzcan impactos adversos a las actividades de nuestro personal o a los procesos importantes de nuestra organización.

El éxito en el uso de esta metodología parte de la propia experiencia y el aporte de todos los empleados en materia de seguridad, y mediante la comunicación de cualquier consideración relevante a sus responsables directos en las reuniones semestrales establecidas por parte de la dirección, con el objeto de localizar posibles cambios en los niveles de protección y evaluar las opciones más eficaces en costo/beneficio de gestión del riesgo en cada momento, y según el caso.

Los principios presentados en la política de seguridad que acompaña a esta política fueron desarrollados con el fin de garantizar que las futuras decisiones se basen en preservar la confidencialidad, integridad y disponibilidad de la información relevante de la organización. La organización cuenta con la colaboración de todos los empleados en la aplicación de las políticas y directivas de seguridad propuestas.

El uso diario de los sistemas por parte del personal determinan el cumplimiento de las exigencias de estos principios y un proceso de inspección para confirmar que se respetan y cumplen por parte de toda la organización. Adicionalmente a esta política, y a la política de seguridad de la organización, se disponen de políticas específicas para las diferentes actividades.

Todas las políticas de seguridad vigentes permanecerán disponibles en la página web de la organización y se actualizarán regularmente. El acceso es directo desde todas las estaciones de trabajo conectadas a la red de la organización y mediante un clic de ratón desde la página Web principal en el apartado Seguridad y Privacidad de la Información. El objetivo de la política es proteger los activos de información de la organización en contra de todas las amenazas y vulnerabilidades internas y externas, tanto si se producen de manera deliberada como accidental.

La dirección ejecutiva de la empresa es la responsable de aprobar una política de seguridad y privacidad de la información, de su cumplimiento y de asegurar el mismo:

1. La información estará protegida contra cualquier acceso no autorizado.
2. La confidencialidad de la información, especialmente aquella relacionada con los datos de carácter personal de los empleados, clientes, detenidos con arresto domiciliario, víctimas y victimarios de violencia de genero.
3. La integridad de la información se mantendrá con relación a la clasificación de la información (especialmente la de carácter confidencial).
4. La disponibilidad de la información cumple con los tiempos relevantes para el desarrollo de los procesos críticos de negocio.
5. Se cumplen con los requisitos de las legislaciones y reglamentaciones vigentes, especialmente con la Ley de Protección de Datos 25326 y de Firma Electrónica.
6. Los planes de continuidad de negocio serán mantenidos, probados y actualizados al menos con carácter anual.
7. La capacitación en materia de seguridad y privacidad se cumple y se actualiza suficientemente para todos los empleados.
8. Todos los eventos que tengan relación con la seguridad y privacidad de la información, reales como supuestos, se comunicarán al responsable de seguridad y serán investigados.

Adicionalmente, se dispone de procedimientos de apoyo que incluyen el modo específico en que se deben acometer las directrices generales indicadas en las políticas y por parte de los responsables designados.

El cumplimiento de la política de seguridad y privacidad de la información y de cualquier procedimiento o documentación incluida dentro del repositorio de documentación del SGSyPI, es obligatorio y atañe a todo el personal de la organización.

Las visitas y personal externo que accedan a nuestras instalaciones no están exentas del cumplimiento de las obligaciones indiciadas en la documentación del SGSyPI, y el personal interno observará su cumplimiento.

En cualquier caso, de duda, aclaración o para más información sobre el uso de esta política y la aplicación de su contenido, por favor, consulte por teléfono o e-mail al responsable del SGSyPI designado formalmente en el organigrama corporativo.