Política de seguridad
A. POLÍTICA SEGURIDAD DE LA INFORMACIÓN
A.1 APROBACIÓN Y ENTRADA EN VIGOR
Este documento ha sido aprobado en la fecha de su última publicación y es efectivo desde ese momento hasta que sea reemplazado por una nueva versión aprobada.
B. Introducción
En AEIOROS SERVICIOS, reafirmamos nuestro compromiso con la excelencia en la prestación de soluciones tecnológicas integrales. Nuestra oferta de servicios abarca consultoría informática, diseño y desarrollo de software a medida, administración, operación e integración de sistemas, así como mantenimiento, soporte técnico y resolución de incidencias.
Impulsamos la transformación digital de organizaciones mediante el diseño y desarrollo de páginas web y plataformas de gestión, la creación de identidad corporativa, la automatización inteligente de procesos a través de tecnologías RPA e Inteligencia Artificial Generativa, y la implementación de ecosistemas IoT con conectividad inteligente. Todo ello respaldado por un enfoque prioritario en la ciberseguridad y la protección de la información.
Nuestro objetivo principal es asegurar la mejora continua de nuestros procesos y servicios, garantizando soluciones de alta calidad que satisfagan plenamente los requisitos establecidos, generen confianza y superen las expectativas de nuestros clientes.
Reconocemos la información como un activo estratégico fundamental para nuestra organización. Por ello, asumimos el compromiso de protegerla adecuadamente, preservando su autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad, así como garantizando la continuidad del negocio frente a cualquier incidente que pudiera comprometer nuestras operaciones.
El objetivo de esta política es establecer los principios generales para garantizar la seguridad de la información, asegurar la continuidad de las operaciones, cumplir requisitos legales, contractuales y de negocio, y promover una cultura de seguridad en toda la organización.
La seguridad debe incorporarse en todas las fases del ciclo de vida de los sistemas de información, desde su diseño hasta su retirada, y debe gestionarse como un proceso de mejora continua.
C. Alcance
Esta política aplica a todos los sistemas TIC, activos de información, procesos, personal, contratistas y terceros que accedan a los sistemas o manejen información de AEIOROS Servicios, sin excepciones.
D. Objetivos de Seguridad de la Información
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia de la información.
- Cumplir con las obligaciones legales, reglamentarias y contractuales aplicables.
- Promover la concienciación y formación continua del personal.
- Gestionar riesgos de seguridad de forma proactiva y eficiente.
- Establecer y mantener procesos de gestión de incidentes, continuidad de negocio y recuperación ante desastres.
- Mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI).
E. Marco Normativo
La organización cumplirá con la legislación vigente, incluidos el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos (LOPDGDD), y las normas y estándares aplicables (ENS, ISO/IEC 27001:2022). El detalle de leyes aplicables está en el documento “AEIOROS-Legislación\IdentificaciónValoraciónLegislaciónAplicable.xlsx”, actualizado anualmente.
F. Organización de la seguridad
- Comités y roles:
o El Comité de Seguridad TIC, integrado por la Dirección y el Responsable del SIG, define y supervisa la estrategia de seguridad. Las responsabilidades individuales están documentadas en las fichas de perfil, comunicadas a todo el personal.
- Procedimientos: Designación de roles, resolución de conflictos y escalado están definidos en los procedimientos de RRHH y comunicación interna.
- Revisión y difusión:
o El Comité revisará anualmente esta política y propondrá actualizaciones. La política será aprobada por Dirección y comunicada a todas las partes interesadas.
G. Protección de datos personales
Todos los sistemas cumplirán los niveles de seguridad requeridos para la naturaleza y finalidad de los datos personales tratados, según el registro de actividades de tratamiento.
H. Gestión de riesgos
Se realizará un análisis de riesgos al menos anual y ante cambios significativos (nuevos servicios, incidentes graves, vulnerabilidades reportadas). El Comité establecerá criterios comunes para la valoración de riesgos y coordinará inversiones y recursos.
I. Controles de Seguridad
· Prevención: Aplicación de controles mínimos del ENS, evaluación periódica de seguridad, revisiones independientes.
· Detección: Monitorización continua, detección de anomalías, reporte oportuno a responsables.
· Respuesta: Procedimientos documentados, designación de puntos de contacto, coordinación con CERTs.
· Recuperación: Planes de continuidad de negocio y recuperación ante desastres actualizados y probados.
J. Obligaciones del personal
El personal debe conocer y cumplir esta política y la normativa asociada.
· Sesiones anuales de concienciación.
· Formación específica para roles críticos antes de asumir responsabilidades.
K. Relación con terceros
Los terceros deberán cumplir esta política y la normativa aplicable. Se formalizarán acuerdos de nivel de servicio (SLA) y cláusulas contractuales para garantizar la seguridad. Si un tercero no puede cumplir un requisito, el Responsable de Seguridad emitirá un informe de riesgos para su evaluación y aprobación.
L. Desarrollo normativo
La política se complementará con normas específicas (listadas en MOD-007), disponibles para todo el personal a través de Redmine y Portales de Calidad.
M. Mejora continua
La organización mantiene un compromiso con la mejora continua del SGSI, impulsando revisiones periódicas, auditorías internas y acciones correctivas/preventivas.
Aprobado por Direccion. 08/05/2025