Política de seguridad de la información

1.1. Introducción

Los procesos de negocio de INFORMA D&B dependen en gran medida de los sistemas de información y de la información que almacenan. La misión de la Política de seguridad de la información es establecer las directrices generales de calidad y seguridad de la información para la empresa, además de proteger los activos de información.

Estas directrices incluyen la adopción de una serie de medidas organizativas y normas que se presentan en este documento y se desarrollan en los documentos asociados. Su finalidad es proteger y mejorar los recursos de información de INFORMA D&B, así como los sistemas de información que se utilizan para su tratamiento ante amenazas, internas o externas, deliberadas o accidentales, y para garantizar la calidad, el cumplimiento de la confidencialidad, integridad, disponibilidad y legalidad de la información.

Esta política se basa tanto en las recomendaciones de buenas prácticas que garantizan la Seguridad en la gestión de sistemas de la información (Normas internacionales ISO 27001), como en la legislación aplicable vigente.

1.2. Objetivo

El principal objetivo de crear esta política es garantizar a los usuarios el acceso a la información cuando lo requieran y la calidad de la misma para que alcancen el desempeño correspondiente, y al mismo tiempo, evitar la pérdida de información y accesos no autorizados a la misma. 

1.3. Política de seguridad de la información

Como respuesta a un nuevo entorno tecnológico donde la informática y las comunicaciones convergen y facilitan un nuevo paradigma de productividad para las empresas, INFORMA D&B asume el firme compromiso de brindar un servicio competitivo, a través de sus servicios de información, así como de la creación de bases de datos de información económica, financiera y de marketing de empresas y empresarios en un entorno de calidad, donde la aplicación de buenas prácticas de seguridad es un pilar fundamental para lograr los objetivos de confidencialidad, integridad, disponibilidad y legalidad de toda la información gestionada.

En consecuencia, INFORMA D&B asume los siguientes compromisos como parte de la estructura de aplicación de su Sistema de Gestión de Seguridad de la Información (SGSI):

• brindar los recursos para implementar los procesos y actividades en el ámbito de la gestión de la seguridad de la información, inclusive en lo que respecta a la concienciación del personal interno y externo respecto de este tema y de las correspondientes responsabilidades para que contribuyan a la eficacia del SGSI;
• definir la estrategia que debe seguirse en el ámbito de la gestión de la seguridad de la información, en alineación con las políticas y objetivos estratégicos de Informa D&B;
• garantizar que el sistema de gestión de la seguridad de la información obtenga los resultados previstos;
• garantizar el cumplimiento de toda la legislación aplicable y pertinente al SGSI;
• promover la mejora continua del SGSI.

Por lo tanto, se establecen los siguientes objetivos de seguridad de la información:

• la información tratada por INFORMA D&B será divulgada exclusivamente a las personas autorizadas, previa identificación, en el momento y por los medios autorizados;
• la información procesada por INFORMA D&B será completa, precisa y válida;
• garantizar la seguridad de la información transmitida dentro de la empresa y con cualquier entidad externa;
• a información tratada por INFORMA D&B será accesible y podrá ser utilizada por los usuarios autorizados e identificados en cualquier momento, quedando garantizada su propia permanencia ante cualquier eventualidad;
• Proporcionar capacitación y concienciación tanto a los empleados que participan como a las partes interesadas;
• garantizar que todos los incidentes de seguridad de la información y/o las sospechas de deficiencias se registren y sean abordadas;
• identificar los riesgos de seguridad de la información, que serán evaluados y controlados permanentemente y, si es posible, reducidos;
• garantizar el establecimiento, mantenimiento y comprobación de los planes de continuidad del negocio.

1.4. Sanciones

Cualquier violación premeditada o negligente de las normas de seguridad de la información establecidas en el SGSI, que suponga un daño potencial (consumado o no) a INFORMA D&B, será objeto de las sanciones correspondientes.

La Dirección General y el Comité de Seguridad de la Información revisarán todas las acciones en las que se vea comprometida la seguridad de la información de INFORMA D&B y que no estén previstas en las normas de seguridad de la información establecidas en el SGSI con el objetivo de que se defina una solución, sujeta al criterio de la empresa y a la legislación prevista.

2.1. Clasificación de la información

La información es un activo importante de Informa D&B, y, como tal, debe ser protegida adecuadamente durante todo su ciclo de vida, desde su creación hasta su destrucción.

Con el fin de implantar un nivel de seguridad adecuado para el tratamiento y uso de la información en Informa D&B, se establecerá un sistema de clasificación de la información que permita categorizar la información según su grado de confidencialidad, integridad y disponibilidad de forma rápida y sencilla, y establecer un factor de agilidad en la toma de decisiones relacionadas con su seguridad. En este sentido, será necesario poner en práctica un sistema de clasificación de la información que refleje adecuadamente su grado de criticidad, de acuerdo con los siguientes niveles:

• comercial confidencial – se refiere a toda la información que Informa D&B adquiere, procesa, analiza y/o pone a disposición de entidades ajenas a la empresa en el ámbito de las relaciones comerciales existentes o de las posibles relaciones a establecer;
• pública – toda la información de dominio público o cuya divulgación no presupone impactos en la actividad de la empresa; su contenido no puede contener información ni datos personales de clientes y socios, y no puede tener restricciones legales asociadas (locales, nacionales o internacionales) para su acceso y uso.

2.2. Tratamiento y marcado de la información según su nivel de protección

2.2.1. Reglas generales:

• la información se clasificará de acuerdo con las reglas de clasificación, independientemente de su soporte (físico, electrónico u otro);
• el propietario o el responsable de la creación de la información tendrá a su cargo la clasificación de la información de Informa D&B;
• en todas las situaciones en las que se intercambien documentos con diferentes niveles de clasificación, se aplicarán las reglas que correspondan al nivel más alto;
• el cambio del nivel de clasificación de la información únicamente puede hacerse bajo consulta y con el consentimiento del responsable de la información (Reclasificación).

2.2.2. Niveles de clasificación

Para su correcta clasificación y uso, cada nivel de clasificación comprende los siguientes atributos:

• acceso – limitaciones en el acceso a la información;
• creación – cuidados que deben tenerse al crear información;
• divulgación/distribución – limitaciones que pueden afectar el acto de divulgar información (por ejemplo, canales
de transmisión seguros);
• reproducción/impresión – restricciones aplicadas a la reproducción o impresión de la información;
• transmisión/transporte – medidas que deben adoptarse para proteger la 
información durante su transmisión o transporte;
• almacenamiento – precauciones para tener en cuenta al almacenar la información;
• destrucción – precauciones para tener en cuenta al destruir la información.

3.1. Identificación de un evento de seguridad de la información

La identificación de un evento de seguridad de la información puede realizarse a través de diferentes fuentes, tanto internas como externas a Informa D&B, tales como:

• clientes;
• terceros que se relacionen con INFORMA D&B y que tengan conocimiento de una eventual ocurrencia.

Una vez verificada la ocurrencia, por cualquier parte externa, esta deberá ser comunicada inmediatamente a INFORMA D&B mediante una notificación al Servicio de Atención al Cliente apoio@informadb.pt.

Versão 2.0