DECLARACIÓN DE INTENCIONES
“La información relacionada con nuestros clientes, es por principio y esencia, el objetivo de negocio de intermediación entre empresas de distintos sectores ofreciendo soluciones que cubren todo el espectro en la gestión de proveedores, los procesos de compras, la contratación y la toma de decisiones.
El afianzamiento y respaldo de la confianza que en nosotros ya han depositado nuestros clientes se basa en la adhesión a principios fundamentales de seguridad de la información y cumplimiento estricto de las políticas, normas y procedimientos que garanticen una seguridad sistemática, adecuada, eficaz y continua.”
José Luis Ramiro Oter
Director CONSTRURED, Construcciones y transacciones informáticas en la red, S.L.
PRINCIPIOS DE LA ORGANIZACIÓN RESPECTO A LA SEGURIDAD
Concienciación: Los empleados y contratados deben ser conscientes de la necesidad de contar con sistemas de información y redes seguros, y qué es lo que pueden hacer para promover y fortalecer la seguridad.
Responsabilidad: Todos los empleados son responsables de la seguridad de los sistemas de información y redes.
Respuesta: Los empleados actuarán de manera oportuna y cooperativa para prevenir, detectar y responder a incidentes que afecten la seguridad.
Ética: Los empleados respetarán los intereses legítimos de los otros, y seguirán el código ético de Construred.
Democracia: La seguridad de los sistemas de información y redes debe ser compatible con los valores esenciales de una sociedad democrática
Evaluación del riesgo: Los empleados deben llevar a cabo evaluaciones de riesgo en sus áreas funcionales.
Diseño e implementación de la seguridad: La seguridad de la información se gestionará como un elemento esencial de los sistemas de información y redes.
Administración: Los empleados deben adoptar una visión integral de la administración de la seguridad.
Evaluación: Se revisará y reevaluará la seguridad de los sistemas de información y redes, implantándose las modificaciones pertinentes a las políticas, prácticas, medidas y procedimientos de seguridad.
DIRECTRICES DE SEGURIDAD
- Asegurar el cumplimiento de la legislación, reglamentación y normativas aplicables, así como de todos los requisitos del SGSI.
- Cumplir con las necesidades y expectativas de las partes interesadas involucradas dentro del alcance del SGSI.
- Demostrar liderazgo por parte de la dirección asegurando que la política de seguridad de la información y sus objetivos son compatibles con la dirección estratégica de Construred.
- Evaluar de forma continua el SGSI, con el fin de adecuarlo a sus exigencias, a través de revisiones continuas, establecimiento de indicadores de seguridad, formación del personal, estableciendo niveles de riesgo adecuados y realizando auditorías.
- Analizar los riesgos que puedan afectar a la seguridad de la información para las actividades de Construred, según el apetito del riesgo y las opciones de tratamiento aprobadas por la Dirección.
- Definir metodologías de desarrollo seguro de aplicaciones informáticas de gestión o de plataformas teniendo en cuenta los objetivos de seguridad definidos por la organización, así como las contramedidas que análisis de riesgos pudieran recomendar.
- Mantener un plan de continuidad de los procesos internos y de la plataforma tecnológica de gestión del negocio para soportar cualquier desastre, sin perjuicios graves y duraderos para nuestros empleados, nuestros clientes, nuestros activos de negocio y, en definitiva, nuestra empresa, apoyado por un plan de pruebas que, con la periodicidad que se considere adecuada verifique la operatividad de los procedimientos de recuperación y continuidad del negocio ante desastres.
OBJETIVOS GENERALES DE SEGURIDAD
Así mismo, en base a la tipología de los activos de información considerados más críticos para el proceso de negocio, se deben tener en cuenta estos criterios de cara a la gestión de contramedidas y acciones de seguridad relacionadas:
- DISPONIBILIDAD DE LA INFORMACIÓN: toda la información relativa a clientes (tanto de constructoras como de proveedores asociados) tratada a través de la página Web corporativa, deberá estar en todo momento, y en la medida de lo posible, disponible, lo que supone la implantación de todas aquellas medidas técnicas, tecnológicas y procedimentales que se consideren necesarias para garantizar este objetivo y necesidad de negocio
- INTEGRIDAD DE LA INFORMACIÓN: se pondrán todos los medios posibles para evitar pérdidas parciales y/o totales de los activos de información, tanto los disponibles en la página Web, como los soportados por la aplicación SICONDOC.
- CONFIDENCIALIDAD DE LA INFORMACIÓN: se pondrán todos los medios a nuestro alcance para impedir que se vulnere la confidencialidad de los activos de información alojados en nuestro sistema.
