La presente política proporciona las bases para definir y delimitar los objetivos y responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran para garantizar el cumplimiento en seguridad de la información, cumpliendo el marco legal de aplicación, las directivas, políticas específicas y procedimientos definidos en PROA.
Estas actuaciones son seleccionadas e implantadas en base a un análisis de riesgos realizado y el equilibrio entre riesgo aceptable y coste de las medidas.
PROA ha definido los requisitos de seguridad, identificando y priorizando la importancia de los distintos elementos de la actividad realizada, de modo que los procesos más importantes y/o sensibles recibirán mayor protección, en base al principio de proporcionalidad.
Es un compromiso de la Dirección y de todos los trabajadores de PROA promover y apoyar la implantación de las medidas técnicas y organizativas necesarias para minimizar los riesgos potenciales a los que se encuentra expuesta la información, en la consecución de los objetivos estratégicos del negocio.
El objeto de esta Política es alcanzar un nivel de cumplimiento, compromiso y protección adecuada. En materia específica de seguridad de la información de la Compañía y respeto a la privacidad de los usuarios, esta política se desarrolla preservando los siguientes principios de la seguridad:
- Confidencialidad
- Integridad de la información
- Disponibilidad
- Autenticidad
- Trazabilidad
Estos principios básicos se deben preservar y asegurar en cualquiera de las formas que adopte la información, ya sea en formato electrónico, impreso, visual o hablado, e independientemente de que sea tratada en las dependencias de la Compañía o fuera de ellas.
Asimismo, estos principios se deberán contemplar en las siguientes áreas de seguridad:
- Física: Comprendiendo la seguridad de las dependencias, instalaciones, sistemas hardware, soportes y cualquier activo de naturaleza física que trate o pueda tratar
información. - Lógica: Incluyendo los aspectos de protección de aplicaciones, redes y prototipos de comunicación electrónica y sistemas informáticos.
- Político-corporativa: Formada por los aspectos de seguridad relativos a la propia Compañía, a las normas internas, regulaciones y normativa legal aplicable
La Política de Seguridad de la información ha sido desarrollada para asegurar la confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad de la tecnología y los activos de información de la Compañía y se alinea con los estándares internacionales en materia de seguridad de la información. Asimismo, esta Política hace referencia a la Normativa General de Seguridad de la Información y son de aplicación los controles del Esquema Nacional de Seguridad en categoría media.
En materia de protección de datos y privacidad se ha desarrollado siguiendo las directrices y guías de la Autoridad de control.
La Dirección General de la Compañía manifiesta su compromiso formal con el apoyo a los planes de seguridad que se deriven de la aplicación de esta Política integrada.
Dicho apoyo se concretará en:
- proporcionar los recursos humanos y económicos necesarios, dentro de las posibilidades presupuestarias;
- asignar roles y responsabilidades a las personas asociadas a los planes de seguridad;
- apoyar la formación de los recursos humanos implicados en el sistema de gestión integrado para que adquieran el nivel de concienciación y las competencias necesarias;
- velar por el correcto funcionamiento del Sistema de Gestión.
- facilitar las comunicaciones con otras organizaciones en materia de seguridad de la información, así como el contacto directo con las autoridades en la materia.
- Promover el desarrollo de esta política
Para que conste y surta los efectos oportunos publicamos esta política.