Condiciones legales

Seguridad de la información

Todos los derechos de autor, así como los derechos de propiedad intelectual e industrial sobre este documento y los conocimientos técnicos que contiene, son propiedad de Ink S.L. y/o de sus respectivos titulares.

El presente documento se pone a disposición de los usuarios finales exclusivamente para su uso interno. Ninguna parte de este documento ni ninguno de los datos que contiene podrá ser publicado, divulgado, copiado, reproducido o redistribuido por cualquier forma o medio, ya sea electrónico o mecánico, ni utilizado para ningún otro fin sin la autorización previa por escrito de Ink S.L.

Quedan reservados todos los derechos que no se hayan concedido expresamente en el presente documento.

Objetivo

El objetivo de esta Política de Seguridad de la Información es proteger los activos de información de Ink Innovation S.L. frente a cualquier amenaza, ya sea interna o externa, intencionada o accidental. Esta política establece el marco y los principios para garantizar la seguridad de nuestros activos de información, asegurando su confidencialidad, integridad y disponibilidad.

Ámbito de aplicación

Esta política se aplica a todos los empleados, contratistas, consultores, personal temporal y demás trabajadores de Ink S.L., incluido todo el personal vinculado a terceros. Abarca todos los sistemas de información, redes y ubicaciones físicas en las que se procesa, almacena o transmite información.

La política se extiende también a las partes interesadas, como clientes, organismos reguladores, proveedores y socios, garantizando el cumplimiento de las obligaciones contractuales, reglamentarias y legales aplicables.

Objetivos de seguridad de la información

  • Garantizar la confidencialidad, la integridad y la disponibilidad de la información.
  • Para protegernos contra el acceso no autorizado y las violaciones de seguridad.
  • Para cumplir con la legislación, la normativa y las obligaciones contractuales pertinentes, incluidos los requisitos en materia de protección de datos y privacidad.
  • Proteger la información personal, sensible y confidencial de conformidad con la normativa vigente en materia de privacidad y protección de datos.
  • Mejorar continuamente nuestro sistema de gestión de la seguridad de la información de conformidad con los requisitos de la norma ISO/IEC 27001 y del NIST.

Funciones y responsabilidades

  • EquipoInk : Aportar liderazgo, compromiso y promoción de las políticas y procedimientos del SGSI, asignar recursos y apoyar la mejora continua. Asumir la responsabilidad de la eficacia del SGSI y garantizar su alineación con los objetivos empresariales.
  • Director de Seguridad de la Información (CISO): Desarrollar, implementar y mantener el Sistema de Gestión de la Seguridad de la Información (SGSI), y garantizar el cumplimiento de los requisitos de la norma ISO/IEC 27001. Supervisar las evaluaciones de riesgos, garantizar el cumplimiento de los requisitos de seguridad reglamentarios y contractuales, y velar por la conformidad con la clasificación del NIST FIPS 199.
  • Departamento de TI:Implementar controles técnicos, supervisar los sistemas, recopilar y revisar los registros de seguridad, aprovechar la información sobre amenazas y responder a los incidentes de seguridad. Garantizar que se aplique la separación de funciones para evitar la modificación no autorizada o involuntaria de los activos.
  • A todos los empleados: Sigan las políticas y procedimientos de seguridad de la información, notifiquen sin demora los incidentes de seguridad, protejan la información confidencial y participen en los programas periódicos de formación y sensibilización en materia de seguridad.

Gestión de riesgos

  • Realizar evaluaciones de riesgos periódicas para identificar, evaluar y priorizar los riesgos para la seguridad de la información.
  • Realizar la categorización de los sistemas de información utilizando los criterios del NIST FIPS 199 para clasificar los sistemas y los datos según los niveles de impacto potencial (bajo, moderado, alto) en materia de confidencialidad, integridad y disponibilidad.
  • Se deben aplicar controles adecuados basados en la clasificación, de modo que los sistemas clasificados como «de alto riesgo» requieran las medidas de protección más estrictas.
  • Ajustar el tratamiento de los riesgos al apetito de riesgo definido por la organización y al contexto del SGSI.
  • Revisar y actualizar las evaluaciones de riesgos periódicamente y cuando se produzcan cambios significativos.

Controles de seguridad de la información

  • Control de acceso: Asegúrese de que el acceso a la información se conceda en función de las necesidades de la empresa y esté sujeto a la autorización correspondiente.
  • Seguridad física: Proteger las instalaciones físicas que albergan activos de información contra el acceso no autorizado y los riesgos ambientales.
  • Seguridad de las comunicaciones: Proteja la información en tránsito mediante el cifrado y protocolos de comunicación seguros.
  • Gestión de incidentes: Establecer y mantener un plan de respuesta ante incidentes para detectar, responder y recuperarse de los incidentes de seguridad.
  • Continuidad del negocio y recuperación ante desastres: elaborar y poner a prueba planes para garantizar la continuidad de las funciones críticas de la empresa en caso de interrupciones imprevistas.
  • Seguridad de proveedores y terceros: definir, comunicar y hacer cumplir los requisitos de seguridad de la información con los proveedores externos, contratistas y prestadores de servicios.
  • Supervisión y registro: Supervisar los sistemas de información para detectar anomalías e incidentes de seguridad. Recopilar, conservar y revisar periódicamente los registros de seguridad para detectar amenazas y facilitar las investigaciones.
  • Información sobre amenazas: Utilice la información sobre amenazas, tanto interna como externa, para detectar y mitigar los riesgos de forma proactiva.
  • Clasificación y categorización de la información: Clasificar y etiquetar los activos de información según su nivel de confidencialidad, y categorizar los sistemas de acuerdo con la norma NIST FIPS 199 (bajo, moderado, alto). Los controles se aplicarán de forma proporcional a los resultados de la categorización.

Formación y sensibilización

  • Impartir formación periódica a todos los empleados sobre las políticas, los procedimientos y las mejores prácticas en materia de seguridad de la información.
  • Sensibilizar sobre las amenazas a la seguridad de la información y la importancia de notificar los incidentes de seguridad.

Cumplimiento normativo

  • Garantizar el cumplimiento de los requisitos legales, reglamentarios y contractuales pertinentes.
  • Realizar auditorías y revisiones periódicas para garantizar la eficacia del SGSI y el cumplimiento de la norma ISO/IEC 27001.

Mejora continua

  • Supervisar y evaluar el rendimiento del SGSI mediante auditorías y revisiones internas.
  • Aplicar medidas correctivas y preventivas para resolver los casos de no conformidad y mejorar el SGSI.
  • Fomentar que los empleados y las partes interesadas aporten sus comentarios para mejorar las prácticas de seguridad de la información.

Revisión de políticas

Esta política se revisará al menos una vez al año o cuando se produzcan cambios significativos, con el fin de garantizar su idoneidad, adecuación y eficacia continuadas. La política se comunicará a todas las partes interesadas internas y externas pertinentes y se pondrá a su disposición en forma de información documentada.