La Empresa Municipal de Aguas de Málaga (Emasa), a través de este documento, quiere dar a conocer la Política de Seguridad de la Información a sus clientes, proveedores y otras partes interesadas, con el convencimiento de que la Seguridad de la Información es un factor clave para el correcto desarrollo de la organización.
Objeto
La información y los sistemas asociados son activos críticos que deben ser protegidos para asegurar el correcto funcionamiento de la empresa.
La información, como activo crítico que es, debe ser protegida durante todo su ciclo de vida, desde su creación o recepción hasta su procesamiento, comunicación, transporte, almacenamiento y difusión a terceros, y ante todo tipo de amenazas como pueden ser errores, fraudes, malversaciones, sabotajes, terrorismo, extorsiones, espionaje industrial, violaciones de intimidad, interrupciones de servicio y desastres naturales.
Por otro lado, Emasa intercambia información con terceros, denominados grupos de interés. Estos grupos incluyen a cualquier persona con interés en la manera en que Emasa protege su información, como pueden ser los clientes de Emasa o los propios empleados de la compañía, los cuales tienen interés en que se mantenga la confidencialidad sobre su información personal.
Para proteger los intereses de estos grupos, Emasa ha desarrollado una política que contempla los objetivos de la empresa sobre la protección de sus sistemas de información, y las expectativas que la misma tiene sobre sus empleados y colaboradores externos.
La Dirección de Emasa tiene la responsabilidad de proteger adecuadamente el activo y realizar una gestión adecuada de los riesgos que pudieran amenazarlo. Para ello, Emasa manifiesta su deseo de llegar a cumplir todas las directrices de seguridad establecidas en este documento, así como las medidas de seguridad establecidas en los documentos relativos a normativa y procedimientos de seguridad.
Alcance
Esta política es aplicable a todos los trabajadores de Emasa y a cualquier persona ajena a EMASA que tenga acceso a la información gestionada por o propiedad de la empresa. La política también es aplicable a toda la información en soporte digital y a los Sistemas de Información propiedad de la empresa o gestionados por la misma. La información de Emasa debe ser protegida conforme a su sensibilidad, valor y criticidad.
Documentación de referencia
RD 311/2022 por el que se regula el ENS
Esquema Nacional de Interoperabilidad RD 4/2010
Reglamento de Protección de Infraestructuras Críticas RD 704/2011
Reglamento General de Protección de Datos (UE) 2016/679
Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales L.O. 3/2018
Guía de Seguridad (CCN-STIC 804) Esquema Nacional de Seguridad Guía de Implantación
Guía de Seguridad (CCN-STIC-805) Esquema Nacional de Seguridad Política de Seguridad de la Información
Responsables y responsabilidades
Director-Gerente
Ofrece el apoyo continuo para la efectividad de esta Política de Seguridad.
Responsable de Seguridad de la información
El Responsable de Seguridad de la Información es el encargado del desarrollo de un programa de protección de la información, así como de la coordinación de su implantación en todos los departamentos implicados de la empresa.
Responsable de la Protección de datos de carácter personal
Garantiza el cumplimiento de la normativa de protección de datos, supervisando su cumplimiento y asesorando al responsable de la información.
Responsabilidad individual
La responsabilidad individual es esencial para la implantación de controles y medidas protectoras de la información. Todos los usuarios de la información de Emasa son responsables de su conducta cuando utilizan los sistemas informáticos de la compañía.
Declaración de principios
Los siguientes principios generales son claves para lograr la protección de la información de Emasa:
- La información de Emasa y sus Sistemas de Información son activos críticos que deben ser protegidos para asegurar el funcionamiento de la empresa.
- La información de Emasa debe ser protegida conforme a su susceptibilidad, valor y criticidad.
- Todos los empleados y colaboradores de Emasa tienen la responsabilidad de proteger la información que se les ha confiado.
Respuesta ante incidentes de seguridad
Cualquier difusión, eliminación, destrucción, modificación o interrupción no autorizada en la disponibilidad de la información, o uso inapropiado de las comunicaciones se considera un incidente de seguridad.
Un fallo en las medidas de protección de la información para prevenir estas acciones, sea accidental o intencionado, se denomina error de seguridad.
Todo el personal de Emasa es responsable de informar de cualquier incidente de seguridad.
Violaciones de la política de seguridad
El cumplimiento de la Política de Seguridad de la Información es necesario para la protección de los derechos legales de Emasa.
Los transgresores de esta estarán sujetos a las medidas disciplinares que considere la Dirección de Emasa.
