Seguridad de la Información
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios.
Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que las organizaciones deben aplicar unas medidas mínimas de seguridad, así como realizar un seguimiento continuo de los niveles de prestación de los servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
COS tiene un firme compromiso con la seguridad de la información, que es una parte integral de cada etapa del ciclo de vida de nuestros servicios, desde su concepción hasta su retirada, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.
La seguridad de la información es un pilar fundamental en la Estrategia general de COS y en la prestación de nuestros servicios. Es por ello que, desde el año 2011, disponemos de un Sistema de Gestión de Seguridad de la Información (SGSI), conforme a la norma internacional ISO 27001, que ha sido revisado y aprobado por una entidad externa, emitiendo el certificado de validez correspondiente. El SGSI es una herramienta para garantizar la máxima la confidencialidad, integridad y disponibilidad de la información gestionada por una organización.
En el año 2021, COS ha adaptado su SGSI a los requisitos del Esquema Nacional de Seguridad logrando en junio de ese mismo año la certificación de nivel medio.
Los pilares fundamentales en la estrategia de seguridad de la información de COS son los siguientes:
• La Organización de la Seguridad. COS ha designado un Comité de Seguridad de la Información para el seguimiento, coordinación y apoyo de las iniciativas relacionadas con la seguridad de la información. Dicho comité está formado por los siguientes roles: Responsable de Seguridad, Responsable del Servicio, Responsable de la Información y Responsable del Sistema.
• Un marco normativo de referencia de obligado cumplimiento para todos los empleados y proveedores de COS. Destaca: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales; Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, Ley 34/2002, de 11 de junio, de servicios de la sociedad de la información y de comercio electrónico, Ley de Propiedad Industrial y UNE-EN ISO 27001:2013.
• La política de Seguridad. Tomando como referencia el marco normativo de aplicación, COS desarrolla, aprueba, comunica y revisa de formar periódica una Política de Seguridad de la Información de obligado cumplimiento para empleados y terceras partes. Esta política se complementa con la Normativa de Seguridad y los Procedimientos de seguridad.
• Formación y sensibilización en materia de Seguridad de la información de todos los empleados y terceras partes con acceso a los sistemas de la información. La formación y sensibilización está dirigida a todos los usuarios de los sistemas y pretende concienciar de las buenas prácticas en materia de seguridad, así como dar a conocer las responsabilidades de cada usuario en relación con la protección de la información.
• El uso de Medidas técnicas de protección. COS aboga por el uso de tecnología para ayudar a proteger la información, así como prevenir y detectar incidentes relacionados con la seguridad de la información.
• Auditoría y seguimiento. Con el fin de verificar el cumplimiento de las políticas, procedimientos y normativa de seguridad, así como de la eficacia de las medidas técnicas implementadas, COS lleva a cabo auditorías periódicas, tanto internas como externas.
Puedes consultar nuestra Política de Seguridad de la información aquí:
- Política de Seguridad de la información.
- Política de Seguridad de la información para terceras partes.