Política de Seguridad de la Información y protección de datos

Introducción

La seguridad de la información es fundamental para garantizar la confidencialidad, integridad y disponibilidad de los datos en UPHINT. Esta política establece los principios y directrices para gestionar la seguridad de la información dentro de la organización, protegiendo tanto los activos tecnológicos como los datos personales, comerciales y financieros. El objetivo es proporcionar un marco que permita a la empresa cumplir con los requisitos de la norma ISO 27001 y garantizar la protección de la información frente a amenazas y riesgos internos y externos.

Contexto de la organización

UPHINT opera en un entorno competitivo donde la confianza y la protección de la información son factores clave para su éxito. La organización gestiona datos sensibles tanto de clientes como de empleados, así como información estratégica relacionada con sus operaciones.

Apoyo para la dirección

La alta dirección de UPHINT está comprometida con la implementación, mantenimiento y mejora del SGSI, asegurando los recursos necesarios y proporcionando liderazgo para garantizar el éxito de la gestión de la seguridad de la información. La dirección también garantiza la asignación de roles y responsabilidades claras en todos los niveles de la organización y asegura que la seguridad de la información sea integrada en todas las operaciones empresariales.

Evaluación y tratamiento de riesgos

Se llevará a cabo una evaluación continua de los riesgos asociados con la seguridad de la información en UPHINT. El tratamiento de estos riesgos se basará en un enfoque proporcional al impacto potencial de las amenazas identificadas. Los riesgos se clasificarán y se aplicarán medidas de control adecuadas para mitigarlos, siempre alineados con los objetivos estratégicos de la organización.

Requisitos Legales

UPHINT cumplirá con todas las leyes, regulaciones y requisitos contractuales relacionados con la seguridad de la información, la privacidad y la protección de datos aplicables en las jurisdicciones en las que opera.

Asignación de responsabilidades

Cada miembro del personal tendrá responsabilidades específicas en cuanto al manejo de la información y la protección de los sistemas que utilizan. Las responsabilidades serán claras y estarán definidas en el manual de organización y funciones y en los procedimientos establecidos por UPHINT.

Compromiso para los requisitos de la norma

UPHINT se compromete a cumplir con los requisitos establecidos en la norma ISO 27001, asegurando la implementación efectiva de un SGSI que permita la protección adecuada de la información. La organización se someterá a auditorías internas y externas para verificar el cumplimiento de la norma y mantendrá un compromiso con la mejora continua de su sistema de seguridad.

Participación del personal

La participación activa del personal es esencial para el éxito de la política de seguridad de la información. UPHINT proporcionará capacitación continua sobre las mejores prácticas de seguridad y fomentará una cultura organizacional donde la seguridad de la información sea responsabilidad de todos los empleados.

Mejora continua

UPHINT promoverá un enfoque de mejora continua en su SGSI mediante revisiones periódicas del sistema, la implementación de nuevas tecnologías y la evaluación de la eficacia de los controles de seguridad. Se adoptarán medidas correctivas y preventivas en función de los resultados de auditorías, incidentes de seguridad y revisiones internas.

Implementación de controles

Se implementarán controles de seguridad basados en las mejores prácticas internacionales y los riesgos identificados en la evaluación de riesgos. Estos controles estarán alineados con los requisitos de la norma ISO 27001 y cubrirán aspectos como el acceso a la información, el cifrado de datos, la protección contra malware y la gestión de incidentes de seguridad.

Objetivos para la seguridad de la información

Los objetivos de UPHINT en cuanto a la seguridad de la información son los siguientes:
1. Proteger la confidencialidad, integridad y disponibilidad de la información.
2. Cumplir con los requisitos legales, contractuales y regulatorios aplicables.
3. Reducir los riesgos de seguridad de la información a un nivel aceptable mediante el tratamiento adecuado.
4. Fomentar una cultura de concientización y responsabilidad en cuanto a la seguridad de la información dentro de la organización.
5. Mejorar continuamente la eficacia del Sistema de Gestión de Seguridad de la Información.

Protección de datos

UPHINT reconoce que cumple con la normativa sobre protección datos regulada en la Ley Orgánica 15/199 de Protección de datos de carácter personal y el Reglamento General 679/2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y en virtud de la cual se establece una serie de obligaciones en el tratamiento de datos de carácter personal, entre las que destaca la prohibición de realizar cesiones de datos de carácter personal sin la correspondiente autorización del titular de los datos personales.

Si tienes alguna incidencia que reportar sobre la seguridad de la información, puedes entrar aquí