POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

I. OBJETO

Esta Política tiene como objetivo establecer la estrategia de seguridad de las redes y sistemas con el fin de proteger la información de OPEN ENERGY 2012, SL (en adelante GEMWEB). Consideramos que la información es uno de los recursos más importantes para nuestro negocio y un valor muy importante que nos confían temporalmente nuestros clientes, por lo que consideramos un compromiso fundamental establecer la protección de dicha información y de los activos que la sustentan, garantizando la confidencialidad, integridad y disponibilidad de los activos y procesos de nuestra organización.

GEMWEB establecerá un marco de control que facilitará que su información esté disponible, sea íntegra y confidencial. Este ambiente de control permitirá, adicionalmente, responder de forma adecuada a las amenazas propias de la evolución continua de las tecnologías de la información.

II. ALCANCE

La presente Política es de aplicación a GEMWEB, a los administradores y empleados de la misma, y a los terceros con los que existan relaciones jurídicas adquiridas.

Por otra parte, las personas que actúen como representantes de GEMWEB en sociedades y entidades ajenas, donde GEMWEB no disponga de control efectivo, promoverán, en la medida de lo posible, la implementación de principios y directrices coherentes con los establecidos en la la presente Política.

III. OBJETIVOS

• Evaluar por anticipado los posibles riesgos en materia de seguridad de la información en nuestras actividades y operaciones, adoptando las medidas de gestión que se consideren necesarias en función de su nivel de riesgo.
• Ofrecer el nivel apropiado de seguridad de la información durante el desarrollo de las actividades y operaciones, tanto a nuestros clientes y empleados como de nuestros activos y procesos.
• Asegurar la completa integración de los compromisos de seguridad de la información en todos los sistemas de gestión, en las decisiones empresariales y los planes de negocio, proporcionando las estructuras y recursos para poner en marcha las iniciativas necesarias.
• Garantizar que nuestros empleados estén debidamente informados y capacitados en materia de ciberseguridad con el fin de tener presentes las prácticas de trabajo y los procedimientos establecidos para el desempeño de sus funciones. Asimismo, requerir a proveedores y contratistas formación en la materia, previo al comienzo de una relación contractual efectiva.
• Asegurar que la información esté disponible con la mínima interrupción posible para los usuarios, según lo requiera el proceso de negocio, manteniendo la integridad de la misma y asegurando la confidencialidad de la información según requiera su clasificación.
• Obtener y mantener las certificaciones en seguridad de la información basadas en estándares nacionales e internacionales, desde la perspectiva de la mejora continua, según establece el ciclo PDCA (Plan/Do/Check/Act).
• Implantar sistemas de monitorización, detección y alerta temprana que permitan una identificación permanente y continuada de las vulnerabilidades, nuevas amenazas e incidentes a nivel global, así como definir los mecanismos oportunos para asegurar que las personas encargadas de la protección de nuestros activos, sus infraestructuras y/o de sus sistemas de información, estén debidamente informados de dichas incidencias en forma y plazo.
• Establecer procedimientos y responsabilidades de respuesta inmediata, eficaz y ordenada ante incidentes de seguridad de la información, así como planes específicos de contingencia y continuidad.

IV. REFERENCIAS

• ENS (Esquema Nacional de Seguridad).
• Norma UNE-EN–ISO 27001:2022. Sistema de gestión de seguridad de la Información.
• Ley Orgánica 03/3018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y Reglamento General de Protección de Datos 2016/679 UE.