Política de seguridad de la información

La política de seguridad de la información (P01) establece el compromiso fundamental de una organización para proteger la confidencialidad, integridad y disponibilidad (CID) de sus activos de información. Al exigir la implantación de un Sistema de gestión de la seguridad de la información (SGSI) formal, la política marca la dirección estratégica esencial para mantener un perfil de seguridad a nivel empresarial que sea basado en el riesgo, medible y sujeto a mejora continua. El alcance de esta política es integral y vinculante para todos los empleados, contratistas, proveedores terceros de servicios y todos los entornos físicos y digitales implicados en el tratamiento de datos de la empresa. Cubre todo el ciclo de vida de la información, con requisitos estrictos de que cualquier exclusión de este alcance debe estar plenamente documentada y aprobada por la Alta dirección. Esta aplicación vinculante garantiza la uniformidad de los estándares de protección en toda la empresa, independientemente de la ubicación o función del activo. Los objetivos establecidos no solo buscan satisfacer el cumplimiento de normas internacionales como ISO/IEC 27001:2022, NIST SP 800-53 y COBIT 2019, sino también fomentar una cultura en la que la seguridad esté integrada en las actividades diarias, las alianzas y los sistemas empresariales. Para ello, los roles y responsabilidades asignados aclaran las expectativas para la Alta dirección, los responsables de seguridad, los propietarios del activo, el personal de TI y técnico, y todo el personal. Esto garantiza que todos, desde la Alta dirección hasta los contratistas externos, comprendan sus obligaciones para mantener la seguridad de la organización y apoyar la respuesta a incidentes, la formación y las actividades de auditoría. La gobernanza dentro del Sistema de gestión de la seguridad de la información (SGSI) es un pilar crítico de la política, que exige estructuras formalizadas, como comités de dirección y una matriz de rendición de cuentas, para supervisar la evaluación continua del desempeño del Sistema de gestión de la seguridad de la información (SGSI) y permitir revisiones por la dirección oportunas. La política describe requisitos de coordinación interfuncional, garantizando que la seguridad de la información no esté aislada, sino integrada en la gestión de proyectos, la adquisición, los procesos de recursos humanos y las funciones de Legal y Cumplimiento. Los procedimientos de revisión y actualización están estrictamente regulados, con control de versiones y aprobación explícita de la Alta dirección, lo que refuerza la rendición de cuentas y la defensibilidad regulatoria. Para cumplir con las exigencias regulatorias, de clientes y de auditoría, la política requiere que todos los controles y la documentación de soporte sean auditables y verificables. Se detallan rutas claras para la selección de controles basada en el riesgo, la gestión de excepciones y la aceptación del riesgo residual. La aplicación y el cumplimiento se respaldan con consecuencias concretas por incumplimiento, protecciones del mecanismo de denuncia y programas de concienciación y formación obligatorios. Las interrelaciones con otras políticas clave de la organización —Registro de roles y responsabilidades, Política de uso aceptable, Política de control de acceso, Marco de gestión del riesgo y Auditoría y Cumplimiento— garantizan una alineación completa en el Sistema de gestión de la seguridad de la información (SGSI) para una gestión unificada del riesgo y el cumplimiento.