Política de Seguridad de la Información
Revisa aquí nuestra política de seguridad de la información:
1. Propósito
El propósito de esta Política de Seguridad de la Información es establecer las directrices generales para proteger de forma eficaz la confidencialidad, integridad y disponibilidad de la información gestionada por la organización, en el marco de sus actividades de validación de sistemas informáticos, asesoramiento,
formación y auditoría de la calidad conforme a normativas regulatorias de la Unión Europea y de la FDA, dirigidas a la industria farmacéutica y de productos sanitarios (Medical Devices), así como la prestación de servicios TIC en todos los sectores.
Esta política constituye el marco de referencia para el establecimiento de objetivos de seguridad de la información, y se desarrolla en cumplimiento con la norma ISO/IEC 27001:2022, las buenas prácticas del sector y con las normativas legales y regulatorias aplicables.
2. Alcance
Esta política aplica a todos los procesos, sistemas, servicios, recursos y activos de información gestionados por la empresa, independientemente del soporte en que se encuentren (físico o digital), y que estén involucrados en las siguientes áreas:
- Validación de sistemas informáticos conforme a requisitos regulatorios.
- Servicios de consultoría, formación y auditoría de calidad en el sector farmacéutico y de productos sanitarios.
- Prestación de servicios TIC a clientes de cualquier sector.
- Gestión interna de la información, incluidos los sistemas corporativos y de soporte.
Aplica a todo el personal de la empresa, así como a colaboradores externos, proveedores, contratistas y terceros que tengan acceso a la información o a los sistemas de la organización.
3. Responsabilidades
El cumplimiento de esta Política de Seguridad de la Información es responsabilidad de todos los integrantes de la organización, en todos los niveles jerárquicos. A continuación, se detallan las responsabilidades:
Alta dirección
Entre sus funciones se incluyen:
- Aprobar y respaldar el Sistema de Gestión de Seguridad de la Información (SGSI).
- Proporcionar los recursos necesarios (humanos, tecnológicos y financieros) para el desarrollo, implementación, mantenimiento y mejora continua del SGSI.
- Establecer los objetivos estratégicos en materia de seguridad de la información.
- Promover una cultura organizacional orientada a la gestión del riesgo y la protección de los activos de información.
CISO (Chief Information Security Officer)
- Definir e impulsar las políticas, procedimientos y controles de seguridad de la información.
- Coordinar las actividades de análisis y gestión de riesgos relacionados con la información.
- Supervisar la respuesta ante incidentes de seguridad.
- Velar por el cumplimiento de los requisitos normativos y regulatorios aplicables.
- Informar periódicamente a la Alta Dirección sobre el estado del SGSI, riesgos identificados y planes de mejora.
Trabajadores y colaboradores
Todos los empleados, consultores, contratistas y colaboradores externos con acceso a la información o a los sistemas de la empresa tienen la responsabilidad de:
- Cumplir con esta Política y con los procedimientos internos de seguridad de la información.
- Proteger los activos de información a los que tengan acceso, evitando su divulgación, pérdida, alteración o uso indebido.
- Participar en las actividades de formación y concienciación en seguridad de la información.
- Informar de inmediato al CISO o al área designada sobre cualquier incidente, brecha de seguridad o comportamiento sospechoso que pueda afectar a la seguridad de la información
4. Compromisos
La Dirección de la empresa expresa su firme compromiso con la seguridad de la información a través de los siguientes principios, que constituyen el marco de referencia para el establecimiento de los objetivos de esta política.
- Confidencialidad: Garantizar que la información esté accesible solo para las personas autorizadas, evitando accesos no permitidos, filtraciones o divulgación indebida.
- Integridad: Asegurar la exactitud, coherencia y fiabilidad de la información y de los sistemas que la procesan, protegiéndola contra modificaciones no autorizadas o pérdidas.
- Disponibilidad: Mantener la operatividad de los sistemas y la accesibilidad a la información por parte de los usuarios autorizados cuando sea requerida.
- Controlar el acceso y proteger los entornos en la nube: Restringir el acceso a la información sensible únicamente a personas autorizadas, según sus funciones y nivel de responsabilidad.
Como proveedor de servicios Cloud, aplicar controles específicos de seguridad para garantizar la protección de los entornos en la nube y prevenir accesos no autorizados o fugas de información. - Cumplimiento normativo: Asegurar el cumplimiento de las normativas y requisitos legales aplicables, contractuales, regulatorios y de cualquier otra índole que sean relevantes en materia de seguridad de la información, incluyendo los compromisos asumidos con clientes, autoridades y otras partes interesadas.
- Concienciación y formación: Fomentar la cultura de la seguridad de la información mediante la formación continua y la sensibilización del personal sobre los riesgos y buenas prácticas.
- Gestión de riesgos: Identificar, evaluar y tratar de manera sistemática los riesgos relacionados con la seguridad de la información, aplicando controles apropiados para minimizar su impacto.
- Mejora continua: Promover la mejora continua del Sistema de Gestión de Seguridad de la Información (SGSI), mediante revisiones periódicas, auditorías internas, análisis de incidentes y retroalimentación de las partes interesadas.
La presente política será revisada periódicamente para garantizar su adecuación a los cambios normativos, tecnológicos y organizativos, y está disponible para todas las partes interesadas pertinentes.