Política de seguridad de la información

 

PRINCIPIOS Y OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

Estos principios, así como el Sistema de Gestión de Seguridad de la Información sobre el que se sustenta, utiliza la norma ISO27001 como marco de referencia.

Los objetivos de Grupo Cobega en materia de seguridad de la información están alineados con los de negocio, dando prioridad al cumplimiento de las obligaciones legales vigentes y que sean aplicables a la actividad desarrollada.

Se considerará un objetivo prioritario de la seguridad de la información el compromiso con el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea y la normativa relativa a la protección de datos de carácter personal vigente en los países en los que el Grupo Cobega actúe.

Además de las exigencias legales en materia de seguridad, el Grupo Cobega tiene la obligación y el compromiso de cumplir con los requisitos contractuales y específicos de seguridad que le exijan sus clientes y proveedores en relación con la información a la que accedan en virtud de las relaciones contractuales con ellos.

Daba dispondrá de los elementos humanos, organizativos, tecnológicos y documentales necesarios para proteger la información de la compañía, evitando incidentes que puedan ponerla en peligro. En todos los niveles del Grupo Cobega existirá el compromiso de cumplir con los objetivos fijados en materia de seguridad de la información y de aplicar los controles y medidas de prevención establecidas.

Para todos los niveles del Grupo Cobega existe la obligación de cumplir con las normas y procedimientos establecidos, siempre enfocándose en proteger los activos de información y los datos personales tratados por Daba.

La compañía adoptará las medidas necesarias para que el personal conozca las obligaciones en materia de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias de su incumplimiento.

Daba promoverá una actividad constante de formación y concienciación en todos los niveles en materia de seguridad de la información, elaborando un plan de acciones formativas, realizando seguimiento de su ejecución y evaluando sus resultados.

La estrategia de Daba en materia de seguridad cumplirá los principios de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información:

  • El principio de confidencialidad garantiza que la información sólo sea accesible para los usuarios autorizados a acceder a ella y que no podrá ser divulgada a terceros sin la correspondiente autorización.
  • El principio de integridad garantiza que los datos se mantendrán libres de modificaciones no autorizadas y que la información existente no ha sido alterada por personas o procesos no autorizados.
  • El principio de disponibilidad garantiza que la información estará accesible y utilizable de forma constante, asegurando la continuidad de los procesos y del negocio. Este principio va unido al de resiliencia que consiste en asegurar la capacidad de recuperación de los sistemas y la información tras un incidente que impida el acceso temporal a los mismos.
  • El principio de autenticidad garantiza que el origen y las identidades asociadas a la información son realmente los que aparecen en los atributos de esta. Este principio va unido al de no repudio, que consiste en asegurar que un usuario no pueda negar la autoría de un acto en el sistema o la vinculación a un dato o conjunto de datos.
  • El principio de trazabilidad garantiza la posibilidad de determinar en cada momento la identidad de las personas que acceden a la información y la actividad que desarrollan en relación con la misma, así como los distintos estados y rutas que ha seguido la información.
  • Se aplicará un principio de proporcionalidad entre los controles a aplicar y la gravedad del riesgo a prevenir, detectar o mitigar.

 

En los nuevos servicios y desarrollos se aplicará el principio de la seguridad desde el diseño y por defecto.

Daba está comprometido y orientado hacia la mejora continua, con el objetivo de que la gestión de la seguridad siempre sea adecuada y eficaz, reevaluando periódicamente las medidas y controles de seguridad para adaptarlas a los cambios significativos del negocio, de los sistemas de información de la compañía y de la evolución de la tecnología.

Revisión 30 de mayo 2023