Politica de Seguridad de Información

JUSTIFICACIÓN Y MOTIVO
En la política de seguridad de la empresa se esbozan las líneas maestras a seguir para establecer el marco de seguridad de la información y que serán seguidas por las demás
políticas y controles relacionados en los Anexos específicos para proteger la confidencialidad e integridad de la información según las directrices de ISO 27001.
Este documento es un abstracto de los puntos más importantes de la política. La política de seguridad completa está a disposición de los clientes bajo petición a la dirección info@winfor.es

0.1 DECLARACIÓN DE SEGURIDAD
Desde Winfor se realiza la siguiente declaración interna a todos sus empleados, partners y clientes:
• Winfor reconoce el valor de la información y la privacidad y por tanto ha implementado un Sistema de Gestión de Seguridad de la Información (SGSI) para
controlar todos nuestros esfuerzos en materia de seguridad.
• La Dirección de Winfor, representada en el Comité de Gestión de Seguridad de la Información, considera la seguridad de la información y los datos personales como
un aspecto vital dentro de su estrategia para la consecución de sus objetivos de negocio.
• La Dirección de Winfor está comprometida a garantizar la máxima seguridad en los servicios que provee, esto es, la confidencialidad, la integridad y la disponibilidad de
los datos, sistemas y/o comunicaciones gestionadas por Winfor.
• La Dirección de Winfor está comprometida a liderar y promover la seguridad a todos los niveles de acuerdo con la Política de Seguridad y los objetivos que están
aprobados en ella, tanto generales como específicos y a crear un SGSI articulado de tal forma que cumpla con los requisitos legales y regulatorios, gestione la protección
y distribución de los activos de la empresa y sea distribuido y publicado en la red corporativa para mejor conocimiento por parte de los empleados.

0.2 PRINCIPIOS RECTORES
A continuación, se identifican los principios genéricos que seguirán todas las políticas subsiguientes y los controles específicos que sigan a éstas:
• La responsabilidad de todos los esfuerzos de seguridad ha sido otorgada al Security Risk Manager o Gestor de Seguridad y Riesgos.
• Los documentos de políticas y procedimientos serán mantenidos al día y puestos a disposición de todas las partes interesadas.
• Se proveerá a todos los empleados de formación sobre seguridad de la información.
• Se tomarán medidas organizacionales y técnicas para proteger los activos de información.
• Comunicaciones: En Winfor las comunicaciones referentes a la seguridad de la información emanan de dirección y estarán gestionadas por dirección general para
comunicaciones internas, en un correo electrónico o en la reunión diaria (que se grabara para dejar evidencia del acto) y por dirección comercial para las
comunicaciones externas a clientes, también en forma de correo electrónico o personalmente dependiendo de la relevancia del cliente (que se volverá a notificar
formalmente mediante email posteriormente para dejar evidencia).
• Se establecerán procedimientos para corregir y prevenir cualquier desviación de la política o incidente de seguridad.
• Cumplir con todos los requisitos legales, normativos y contractuales en seguridad de la información.
• Con el fin de mejorar de forma continua, se revisan y definen nuevos objetivos.
• Para ofrecer garantías a todas las partes interesadas, buscamos obtener la ISO 27001.
• Las Políticas son responsabilidad de Gerencia y Dirección, y deben ser aprobadas por Comité de Gestión de Seguridad de la Información. Tras su revisión.
• Los controles y Anexos son diseñados por el Departamento de Sistemas siguiendo las directrices marcadas por Gerencia y Dirección en las Políticas, pero deben ser
operativos y están sujetos a revisión y mejora continua por parte del Comité respecto a su operatividad y eficacia.
• Las Plantillas y Procedimientos son responsabilidad del Departamento de Sistemas y deben ser conocidas por los diferentes Departamentos y usadas para el registro de
la actividad de seguridad (solicitudes de cambio, accesos, usuarios…). Están sujetas a revisión y cambio debido a su idoneidad o eficacia.