Política de Seguridad de la Información
El Grupo OESIA depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos de negocio. Por lo que la compañía es consciente de que estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, autenticidad, trazabilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El Grupo Oesía ha optado por un Sistema de Gestión de la Seguridad de la Información basado en el ENS nivel medio con carácter general en toda la empresa, por lo que la Política de Seguridad de la Información está adaptada a lo establecido en la norma CCN-STIC 805 de septiembre de 2011.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con prontitud a los incidentes de seguridad. Los sistemas TIC del Grupo Oesía deben estar protegidos contra amenazas de rápida evolución que afecten a la confidencialidad, integridad, autenticidad, trazabilidad o disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia de seguridad que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el marco legal aplicable, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Para ello, la Política de Seguridad de la Información establece que:
- La presente política materializa el compromiso de la Alta Dirección del Grupo Oesía en materia de seguridad de la información y lo que en ella se expone es de obligado cumplimiento para toda la organización.
- Toda la organización tiene responsabilidades en materia de Seguridad de la Información.
- Los requisitos de seguridad impuestos por los clientes para los productos o servicios que se le prestan deberán cumplirse en todo momento y atender a todo el ciclo de vida de los mismos.
- Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida de los sistemas, productos o servicios del Grupo Oesía, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.
- Los requisitos de ciberseguridad y las necesidades de financiación de la ciberseguridad, cuando sea necesario, deben ser identificados por los distintos departamentos, e incluidos en la planificación de recursos, en las ofertas, y en pliegos de licitación para proyectos del Grupo Oesía.