Política de Seguridad

La información constituye un activo esencial para Instituto Tecnológico de la Energía, por lo que consideramos la seguridad de la información un elemento crítico y fundamental. Este desafío se intensifica en relevancia y demanda cuando lo aplicamos a un entorno tan especializado y crucial como el nuestro, donde el manejo y la gestión segura de la información son indispensables para competir y avanzar en el futuro.

Además, la legislación vigente es precisa en lo que respecta a la seguridad de la información, proporcionando un marco legal específico que exige un cumplimiento riguroso por parte de todos, pero que también facilita la adopción de las medidas de seguridad adecuadas en los sistemas de información.

El objetivo del presente documento es definir de forma clara las reglas para el uso de los sistemas y de otros activos de información en Instituto Tecnológico de la Energía.

La política de seguridad se establecerá, de acuerdo con los principios básicos señalados en el capítulo II del ENS y se desarrollará aplicando los siguientes requisitos mínimos:

Organización e implantación del proceso de seguridad.
Análisis y gestión de los riesgos.
Gestión de personal.
Profesionalidad.
Autorización y control de los accesos.
Protección de las instalaciones.
Adquisición de productos de seguridad y contratación de servicios de seguridad.
Mínimo privilegio.
Integridad y actualización del sistema.
Protección de la información almacenada y en tránsito.
Prevención ante otros sistemas de información interconectados.
Registro de la actividad y detección de código dañino.
Incidentes de seguridad.
Continuidad de la actividad.

Ayudar en el proceso de identificar vulnerabilidades en los sistemas y redes y mitigarlas.

Nos encargamos del tratamiento de los datos de nuestros clientes facilitando su:

  • Disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran;
  • Integridad, asegurando que la información y sus métodos de proceso son exactos y completos;
  • Confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información;
  • Trazabilidad, posibilitando el seguimiento de los accesos indebidos a la información;
  • Autenticidad, garantizando que los usuarios que tienen acceso son quien dicen ser;
  • ISO/IEC 27001.
  • Esquema Nacional de Seguridad
  • guía CCN-STIC-801

Este documento se aplica a todo el alcance del Sistema de Gestión de Seguridad de la Información (SGSI); es decir, a todas las personas, los sistemas y demás activos de la información utilizados dentro del alcance del SGSI.

Incluye todos los sistemas de información de la organización, abarcando equipos personales, servidores, redes, aplicaciones, sistemas operativos y procesos empresariales que son propiedad o están gestionados por el Instituto Tecnológico de la Energía. Esta política aborda los aspectos más directamente relacionados con la responsabilidad y el uso adecuado del personal respecto a estos sistemas.

La dirección del Instituto Tecnológico de la Energía se ha encargado de asignar roles y responsabilidades, así como de establecer los comités pertinentes para garantizar el cumplimiento de esta política. Esta documentación estará disponible para todas las partes interesadas y el personal interno de la organización.

En el documento interno sobre Roles y Responsabilidades de la organización, se detallan todos los roles y responsabilidades dentro del Instituto Tecnológico de la Energía así como sus funciones.

El Instituto Tecnológico de la Energía dispone de un sistema de clasificación de la información basado en su nivel de criticidad.

El Instituto Tecnológico de la Energía tiene marcado un plan de actuación anual de análisis y revisión de riesgos de los activos sujetos al alcance de esta política.

El Instituto Tecnológico de la Energía ha implementado en su organización una normativa de seguridad la cual establece la estrategia y el enfoque para la gestión de la seguridad de la información en cualquier tipo de organización. Incluye políticas, procedimientos y guías de seguridad, que definen la manera en que se deben abordar los aspectos de seguridad de la información en la organización.

La normativa se encuentra disponible para los miembros de la organización.

Todos los miembros y usuarios del SGSI del Instituto Tecnológico de la Energía están obligados a conocer y cumplir la política y la normativa de seguridad implementada.

Para garantizar el cumplimiento del deber se realizan sesiones de formación continua y de concienciación.

Los usuarios de este documento que aplica a todo el alcance del Sistema de Gestión de Seguridad de la Información (SGSI) son también los contratistas y proveedores del Instituto Tecnológico de la Energía.

Esta Política de Seguridad de la información es efectiva desde la fecha de aprobación y hasta que sea reemplazada o actualizada por una nueva.

Aprobada el 11/11/2024