Política de Seguridad de la Información

En un contexto mundial en el que cada vez se producen más ciberataques, en el que las amenazas a la seguridad de la información se materializan con más frecuencia, SAECA está comprometida con mantener altos estándares de seguridad en la prestación de servicios a los ciudadanos. De forma que el uso de buenas prácticas en seguridad es fundamental para conseguir los objetivos de confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad y legalidad de toda la Información y Servicios gestionados.

En consecuencia, SAECA ha definido las siguientes directrices a tener en cuenta en el marco de la aplicación del Sistema de Gestión de Seguridad de la Información (SGSI):

  • Confidencialidad: La Información tratada por SAECA será conocida exclusivamente por las personas autorizadas, previa identificación, en el momento y por los medios habilitados.
  • Integridad: La Información tratada por SAECA será completa, exacta y válida.
  • Disponibilidad: La Información tratada por SAECA estará accesible y utilizada por los usuarios autorizados e identificados en todo momento, quedando garantizada su propia permanencia ante cualquier eventualidad.
  • Legalidad: SAECA garantizará el cumplimiento de toda legislación que le sea de aplicación. Y, en concreto, la normativa en vigor relacionada con el tratamiento de datos de carácter personal.
  • Autenticidad: La información tratada por SAECA será comprobada y confirmada la identidad real de los activos y/o actores y/o de la autorización por parte de los autorizadores, así como la verificación de estas tres cuestiones.
  • Trazabilidad: La información tratada por SAECA tendrá la propiedad de certificar que las acciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.

Mediante esta política, la Dirección General asume la responsabilidad de apoyar y promover el establecimiento de las medidas organizativas, técnicas y de control necesarias para el cumplimiento de las directrices de seguridad aquí descritas, las cuales desarrollará garantizando los siguientes requisitos mínimos:

  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos.
  • Mínimo privilegio.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de la actividad.
  • Gestión de incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.

Asimismo, todas las políticas y procedimientos incluidos en el SGSI serán revisados, aprobados e impulsados por la Dirección General de SAECA.

Esta Política de Seguridad de la Información será mantenida, actualizada y adecuada a los fines de la organización, alineándose con el contexto de gestión de riesgos estratégica de la organización. A este efecto, se revisará a intervalos planificados o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia. Asimismo, para gestionar los riesgos que afronta SAECA se define un procedimiento de evaluación de riesgos formalmente definido. Para garantizar el cumplimiento de la política, todos los departamentos que integran SAECA:

  • Deben cumplir un procedimiento de autorización de sistemas antes de entrar en operación.
  • Deben evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Deben solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.