NeuronUP

REHABILITACIÓN COGNITIVA PROFESIONAL

Política de Seguridad de la Información

1. Introducción

NeuronUP depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El personal de NeuronUP debe cerciorarse de que la seguridad es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.

Los departamentos de NeuronUP de acuerdo al desempeño de las funciones encomendadas deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo a la normativa vigente.

Para garantizar el cumplimiento de esta política, el Comité de Seguridad de la Información desarrolla y evalúa regularmente los sistemas y se encarga de que todo el personal de NeuronUP conozca y cumpla sus funciones de acuerdo con la seguridad de la información.

2. Ámbito de aplicación

Esta política se aplica a todos los sistemas TIC de NeuronUP y a todos los miembros de la organización, sin excepciones.

3. Objetivo de esta política

Esta política tiene como objetivo fijar el marco de actuación para garantizar la seguridad de la información y la prestación continuada de los servicios.

Esta Política se desarrolla por medio de la documentación y normativas de seguridad a disposición de todos los miembros de la organización, que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones, a través de procedimientos, procesos, instrucciones técnicas, etc..

La normativa de seguridad está disponible para todos los empleados de la organización en su espacio de documentación general, dentro de Google Workspace.

4. Marco normativo

NeuronUP se compromete a cumplir con todas las leyes, reglamentos y normativas aplicables en materia de Seguridad de la Información.

5. Organización de la seguridad

La Dirección de la empresa adquiere la responsabilidad de promover y apoyar el establecimiento de medidas técnicas, organizativas y de control que garanticen los niveles de calidad y seguridad necesarios para las operaciones de la empresa, comprometiéndose con la mejora continua del Sistema de Gestión de la Seguridad de la Información.

La responsabilidad de esta tarea se delega en el Comité de Gestión de la Seguridad de la Información, CGSI o Comité de Seguridad.

La dirección de NeuronUP crea el Comité de Seguridad como órgano colegiado transversal, compuesto por:

  • Responsable de Seguridad de la Información de la empresa y presidente del Comité
  • Administrador de Sistemas como secretario del Comité de Seguridad.
  • Chief Technology Officer.

Los nombramientos se revisarán cada 2 años o cuando un puesto quede vacante, a propuesta del propio Comité de Seguridad.

Las atribuciones de estos roles quedan incluidas en las fichas de puesto de sus respectivos responsables y el procedimiento para su designación y/o renovación es aprobado por la dirección.

5.1. Funciones del Comité de Seguridad

La función principal del Comité de Seguridad de la Información es la de fijar la Política de Seguridad de la Información y los objetivos del Sistema de Gestión de la Seguridad de la Información

El Comité de Seguridad establecerá los niveles de riesgo considerados aceptables, determinando las acciones oportunas para reducir aquellos riesgos que sobrepasen esos umbrales.

Será misión del Comité de Seguridad la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma, y será complementada por medio de normativas y recomendaciones de seguridad (políticas, protocolos, procedimientos, instrucciones técnicas, etc.)

Puntos de seguridad a revisar al menos anualmente:

  • El estado de las acciones a desarrollar desde el último control
  • Cambios relevantes para el SGSI
  • Gestión del riesgo, Vulnerabilidades y amenazas
  • Tecnologías, productos y servicios para la mejora continua

6. Gestión de riesgos

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.

El Comité de Seguridad estudiará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas.

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • regularmente, al menos una vez al año
  • cuando ocurra un incidente grave de seguridad
  • cuando se reporten vulnerabilidades graves

Para garantizar la disponibilidad de los servicios críticos ante posibles incidencias, la empresa dispone de un procedimiento Plan de recuperación de desastres que coordina todas las actividades de recuperación de los procesos de negocio que puedan verse afectados.

7. Obligaciones del personal

Todos los miembros de NeuronUP tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

El incumplimiento de esta Política de Seguridad y las normas que lo desarrollan, podrá derivarse en sanciones disciplinarias conforme a lo establecido en el Estatuto de los Trabajadores y el Convenio colectivo que sea de aplicación.

Las directrices concretas para los trabajadores se desarrolla en la Política de Privacidad y Seguridad de los trabajadores

7.1. Concienciación y formación

Todos los miembros de NeuronUP atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de NeuronUP, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

7.2. Directrices básicas de SGSI

Las directrices básicas para el tratamiento seguro de la información y la estructuración de la documentación de seguridad del sistema, su gestión y acceso, se desarrollan en los manuales, políticas, normativas y procedimientos del SGSI.

Las directrices básicas para el tratamiento seguro de la información son las siguientes:

  • La información debe clasificarse en las siguientes categorías: Pública, Uso Interno, Confidencial o Reservada.
  • Los soportes que almacenan información confidencial o reservada deben almacenarse en lugar seguro.
  • El acceso a los sistemas de información se permitirá en base a las necesidades de saber.
  • Los controles de acceso físico al edificio, restringen el acceso únicamente al personal autorizado.
  • Todos los empleados, deben registrar sus entradas y salidas de los edificios de la empresa, a través del sistema de control de horario/fichaje.
  • Las personas externas a la empresa deben registrarse en los casos establecidos por NeuronUP.
  • Se seguirá la Política de gestión de contraseñas indicada por NeuronUP.
  • Los ordenadores están configurados para que tras un período de inactividad, se bloqueen de modo automáticamente con un salvapantallas protegido con contraseña. Sin embargo, queda en manos del usuario bloquearlo de modo manual cada vez que se abandone el puesto.
  • Siempre que un empleado cause baja de la empresa se desactivarán sus derechos de acceso.
  • Los usuarios dispondrán de correo electrónico corporativo para el desarrollo de su trabajo.
  • En los contratos con terceras partes se incluirán las cláusulas de seguridad oportunas.
  • Los usuarios nunca deben desactivar los programas de antivirus ni cualquier otra herramienta o control instalada con el objetivo de mejorar la seguridad.
  • Los usuarios no deben tener expectativas de privacidad cuando accedan a los sistemas de información de la empresa, ya que ésta (dentro del marco legal establecido y con el fin de dirigir los sistemas y hacer cumplir la seguridad) puede revisar cualquier información almacenada en sus sistemas.
  • Cualquier consulta en materia de seguridad puede ser dirigida a [email protected].
  • Ante la detección de una situación que afecte a la seguridad de la información de NeuronUP cualquier usuario (empleado o externo) debe comunicarlo al responsable del departamento y/o responsable de seguridad.

8. Datos de carácter personal

NeuronUP trata datos de carácter personal y por ello dispone de una Política de protección de datos personales, que se ajusta a los niveles de seguridad requeridos por la normativa vigente.

El Documento de Seguridad es revisado y actualizado periódicamente evidenciando así la Proactividad requerida y garantizando la seguridad de los datos de carácter personal tratados.

9. Terceras partes

Cuando NeuronUP preste servicios a otras organizaciones o maneje información de otras , se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando NeuronUP utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

Déjanos tus datos y te llamamos

O llámanos gratis

No clientes

+34 684 464 482

Clientes

+34 941 287 238

De lunes a jueves de 9 a 17 y el viernes de 9 a 15 (GMT+1)