Política de Seguridad de la Información

OBJETO

La política que inspira los Sistemas de Gestión de Seguridad de la Información (SGSI-ISO 27001) y la Directiva (UE) 2022/2555 Relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión NIS 2 de EMALSA. incluye el compromiso de cumplir con los requisitos de mejorar continuamente la eficacia del sistema de gestión, asegurar la información soportada en las Tecnologías de la Información y garantizar una eficaz gestión de los servicios, proporcionando un marco de referencia para establecer y revisar los objetivos del SGSI , incluyendo el compromiso de cumplir con los requisitos legales aplicables, siendo comunicada esta política dentro de la organización y con las partes interesadas, y revisada para su continua adecuación.

EMALSA integra las políticas del SGSI de SAUR y establece:

• Dadas las amenazas ambientales actuales, es necesario avanzar hacia modelos de desarrollo más resilientes. EMALSA, dentro del Grupo SAUR se compromete a aportar su experiencia y valores para proporcionar un mejor acceso a agua de calidad.
• El suministro de agua para Consumo Humano es un servicio de alta criticidad; Esta capacidad es necesaria para mantener la confianza de los ciudadanos en las instituciones y en los servicios públicos.
• El Sistema de Información (IS) está en el corazón de nuestras actividades. Proporciona un soporte esencial a nuestros procesos de negocio. La evolución actual de las restricciones ambientales, los requisitos normativos, las expectativas sociales y la organización del trabajo aumentan la necesidad de protección, resiliencia y calidad de la información: debemos defender el agua en la era cibernética.
• Estos cambios requieren mitigar diferentes tipos de riesgos: riesgos financieros, riesgos operativos y en nuestro SGSI especialmente los riesgos cibernéticos. Es por eso que cada usuario de los Sistemas de Información de EMALSA debe contribuir a su protección.
• Este documento establece principios de alto nivel y pautas en cuanto a la implementación de ciberseguridad dentro de EMALSA. Es aplicable a todos los participantes de la cadena de valor del agua: clientes, empleados, contratistas, socios.

DATOS DE ENTRADA

Esta política es definida y revisada periódicamente por la Subdirección de Transformación Tecnológica.

De forma general se establece el objetivo de: Implementación de un conjunto de actuaciones orientadas a minimizar los ciberriesgos, tanto de los desarrollos y aplicaciones contratadas, como en el desarrollo de las actividad y disminuir la superficie de exposición. La Dirección se compromete a proveer servicios que satisfagan de manera consistente las necesidades y expectativas de nuestros usuarios y clientes.

Todo el personal está involucrado en el cumplimiento de esta Política. La Gestión de la Seguridad de la Información (SGSI) es parte integral y fundamental en la gestión de nuestra organización.

Para alcanzar los objetivos, los sistemas son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad de la información tratada, o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con eficacia a los incidentes.

Para lograr el máximo nivel de calidad y seguridad en nuestros procesos y servicios, nos aseguramos de que se realizan de manera eficaz mediante nuestros procedimientos, los cuales describen nuestros procesos.

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

La adopción del Sistema de Gestión de Seguridad de la Información (SGSI), tiene como finalidad lograr el cumplimiento de los siguientes compromisos:

– Cumplir con los requisitos contemplados en las normas ISO 27001 (Sistema de Gestión de la Seguridad de la Información) y la NIS 2.

– Cumplir con los requisitos legales, reglamentarios, estatutarios, del cliente y otros requisitos que afecten, asegurando la seguridad de la información de forma eficaz.

– Mejorar continuamente la eficacia del sistema integrado de gestión según las normas ISO 27001.

– La mejora continua de las medidas para garantizar la seguridad de la información en base al SGSI.

– Analizar y maximizar la satisfacción de los usuarios con nuestras soluciones y servicios.

– Nuestra continua orientación hacia la excelencia está fundamentada en una temprana identificación y erradicación de las fuentes de los errores. La prevención es siempre prioritaria frente a la corrección.

– Lograr la motivación de nuestros recursos humanos, su capacitación, cualificación y experiencia, a través de las actividades apropiadas de selección, formación y adiestramiento.

– Establecer y mantener los cauces de comunicación e información permanente con nuestros clientes, personal, proveedores y sociedad en general.

– La Política de Seguridad de la Información (SGSI), se pone a disposición del público y de las partes interesadas, para su información y conocimiento.

– El propósito de esta Política de la Seguridad de la Información es proteger los activos de información de EMALSA y de nuestros clientes y trabajar en un entorno seguro y controlado, siendo este objetivo fundamental el marco de referencia para todas las actividades y servicios que prestamos. Así mismo, EMALSA administra con diligencia los sistemas TI (Tecnologías de Información), tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad de la información tratada, o los servicios prestados y comunicando y tratando los incidentes de seguridad apropiadamente.

– La alta dirección tiene el compromiso de cumplir los requisitos aplicables a la seguridad de la información y aportar los medios que se requieran para dicho cumplimiento.

Así mismo:

– La información está protegida contra pérdidas y su correspondiente: Disponibilidad, Confidencialidad, Autenticidad, Integridad y Trazabilidad.

– La información está protegida contra accesos no autorizados.

– Se cumplen los requisitos del negocio respecto a la seguridad de la información y los sistemas de información.

– Las incidencias de seguridad son comunicadas y tratadas apropiadamente.

Para el cumplimiento de estos compromisos, la Dirección dota al Sistema de Gestión de todas las herramientas precisas, documental e informáticamente establecidas, para asegurar que la Política de Seguridad de la Información (SGSI) sea comprendida, desarrollada, aplicada y continúe vigente en todos los niveles de la organización.

Además, la empresa establece anualmente (aprovechando la revisión y análisis del Sistema de Gestión por la Dirección, así como el análisis de Riesgos/Oportunidades con las partes interesadas y los procesos), una serie de objetivos y metas de Seguridad de la Información (SGSI), así como nuestros objetivos de gestión relacionados con el desarrollo, evolución y consolidación del negocio, y de seguridad de la información, que pueden tener carácter cualitativo o cuantitativo, pero en cualquier caso, deben ser verificables en cuanto a cumplimiento y efectividad. El avance en la consecución de estos objetivos se evalúa por la Dirección y por el responsable del Sistema Integrado de gestión cuando efectúa la revisión periódica del Sistema Integrado de Gestión.

Dentro de las Políticas de Seguridad de la Información, EMALSA está preparado para prevenir, detectar, reaccionar y recuperarse de incidentes.