Política de Seguridad de la Información

 

Objetivo y Desarrollo: ATM BROADCAST se dedica a Sistemas de Informacion que dan soporte a la transmisión y edición de señales de video, asegurando la seguridad de la información.

 Los objetivos incluyen aumentar la resiliencia, asegurar la recuperación rápida de servicios, prevenir incidentes de seguridad y garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

Para poder lograr estos objetivos es necesario:

  • Mejorar continuamente nuestro sistema de seguridad de la información
  • Cumplir con requisitos legales aplicables y con cualesquiera otros requisitos que suscribimos además de los compromisos adquiridos con los clientes, así como la actualización continua de los mismos. El marco legal y regulatorio en el que desarrollamos nuestras actividades es:
    • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
    • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
    • Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual
    • Real Decreto-ley 2/2018, de 13 de abril, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual.
    • Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad modificado por el Real Decreto 951/2015, de 23 de octubre.
    • Norma UNE-EN ISO/IEC 27001 para la seguridad de la información.
    • Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
    • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
    • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

Organización de Seguridad: La responsabilidad recae en la Dirección General, que organiza funciones y recursos para cumplir con los objetivos de seguridad. Se definen roles específicos para la gestión de la información, servicios, seguridad y sistemas: 

Responsable de la información

–          Tomar las decisiones relativas a la información tratada

Responsable de los servicios

–          Coordinar la implantación del sistema

–          Mejorar el sistema de forma continua

Responsable de la seguridad

–          Determinar la idoneidad de las medidas técnicas

–          Proporcionar la mejor tecnología para el servicio

Responsable del sistema

–          Coordinar la implantación del sistema

–          Mejorar el sistema de forma continua

Dirección

–          Proporcionar los recursos necesarios para el sistema

–          Liderar el sistema

Gestión de Riesgos: Se realiza un análisis de riesgos regularmente para evaluar amenazas y riesgos. Este análisis se revisa anualmente o cuando cambian los servicios, la información manejada o ocurren incidentes graves.

Gestión del Personal: Todo el personal debe conocer y cumplir la Política de Seguridad de la Información. Se realizan sesiones de comunicación y formación continua para asegurar el cumplimiento y la competencia técnica del personal.

Profesionalidad y Seguridad de los Recursos Humanos: Se busca reducir riesgos de error humano y uso indebido de información. Se establecen compromisos de confidencialidad y se promueve la comunicación de debilidades de seguridad.

Autorización y Control de Acceso: Se implementan medidas para evitar el acceso no autorizado a sistemas de información y bases de datos, utilizando técnicas de autenticación y autorización.

Protección de las Instalaciones: Se previene el acceso no autorizado y se protege el equipo crítico mediante medidas de seguridad física y ambiental. Todo el personal debe cumplir con la política de pantalla limpia y escritorio.

Adquisición de Productos: La seguridad TIC debe ser parte integral del ciclo de vida del sistema, desde su concepción hasta su retirada. Los requisitos de seguridad deben incluirse en la planificación y adquisición de sistemas.

Seguridad por Defecto: La seguridad de la información debe integrarse en todos los procesos y sistemas desde su creación hasta su retirada.

Integridad y Actualización del Sistema: Se garantiza la integridad del sistema mediante un proceso de gestión de cambios y revisiones periódicas de seguridad.

Protección de la Información Almacenada y en Tránsito: Se establecen medidas de protección para la información en entornos inseguros, como equipos portátiles y redes abiertas.

Prevención de Sistemas de Información Interconectados: Se protegen los sistemas de información conectados a redes públicas mediante medidas de seguridad y análisis de riesgos.

Registros de Actividad: Se registran las actividades de los usuarios para monitorizar, analizar e investigar actividades indebidas o no autorizadas.

Continuidad de la Actividad: Se establecen medidas para garantizar la continuidad de las operaciones, incluyendo copias de seguridad.

Mejora Continua del Proceso de Seguridad: Se aplica un proceso de mejora continua de la seguridad de la información según el Esquema Nacional de Seguridad.

Información Documentada y Calificación de la Información: Se establecen directrices para la gestión y acceso a la documentación de seguridad del sistema.