1. Introducción

ENERCLIC, tiene el objetivo de preservar la confidencialidad, integridad, disponibilidad y autenticidad de la información, protege a ésta de un amplio grupo de amenazas y destinado a asegurar la continuidad de las líneas de negocio, minimiza los daños y maximiza el retorno de las inversiones y las oportunidades de negocio y la mejora continua.

La Dirección de ENERCLIC es consciente de que la información es un activo que tiene un elevado valor para la empresa y requiere por tanto una protección adecuada.  Actualmente, las amenazas en ciberseguridad han ido en aumento y requieren de un empeño y compromiso firme en la gestión de los riesgos que estas conllevan.

Ante las posibles amenazas ocasionadas desde lugares remotos, a través de conexiones a redes de comunicación a los que tiene acceso ENERCLIC. Se establece la administración diligente de los sistemas de información, tomando las medidas necesarias para protegerlos frente a ataques o accidentes, y neutralizando las amenazas expuestas con los medios que ENERCLIC disponga, dentro de su alcance presupuestario. A nivel técnico la empresa contará con mecanismos que sean capaces de prevenir, detectar, dar respuesta y conservación de la información y los servicios de la empresa.

2. Alcance

La presente Política de Seguridad de la Información es de alcance y aplicación a todo el personal de ENERCLIC, que deberá cumplir todos los requisitos establecidos y asegurarse de preservar y mejorar la seguridad de la información. También se aplicará a toda la información de ENERCLIC, con independencia de quién acceda a ella, la procese o el medio en el que se ubique.

3. Principios de la Política de Seguridad de la Información.

La Dirección de ENERCLIC, establece como objetivos de base, punto de partida y soporte de los objetivos y principios de la seguridad de la información los siguientes:

• La protección de los datos de carácter personal y la intimidad de las personas, la salvaguarda de los registros de la empresa y la protección de los derechos de la propiedad intelectual.
• La implementación de medidas de seguridad en todos los aspectos de la empresa, ya sean humanos, materiales, técnicos y organizativos.
• Conocimiento, comprensión y aplicación de la Política de Seguridad de la Información por todo el personal de ENERCLIC.
• La diferenciación de responsabilidades. Designando diferentes roles de seguridad con responsabilidades diferenciadas y coordinadas para el mantenimiento del sistema de información y la resolución de conflictos.
• La gestión de la continuidad del negocio.
• El registro de las incidencias de seguridad. Realizando una estrategia preventiva de análisis de riesgos y proponiendo procedimientos de mitigación y evaluación.
• La gestión de los cambios que pudieran darse en la empresa relativos a la seguridad. Como la gestión y análisis de los riesgos, estableciéndose un entorno controlado y reduciendo los riesgos.
• La mejora continua de las medidas de seguridad y el cumplimiento de objetivos. Evaluándose y actualizándose periódicamente, para evaluar los riesgos y la eficacia del sistema.

4. Compromisos

La Dirección de ENERCLIC, mediante la elaboración e implantación del presente Sistema de Gestión de Seguridad de la Información adquiere los siguientes compromisos:

• Actuar en todo momento dentro de la más estricta ética profesional.
• Desarrollar servicios conformes con los requisitos legislativos, cumpliendo con la legislación vigente en materia de Seguridad de la Información.
• Establecimiento y cumplimiento de los requisitos contractuales con las partes interesadas.
• Definir los requisitos de formación en seguridad y proporcionar la formación necesaria, así como la difusión de buenas prácticas en materia de Seguridad de la Información.
• Prevención y detección de virus y otro software malicioso, mediante el desarrollo de políticas específicas y el establecimiento de acuerdos contractuales con organizaciones especializadas.
• Gestión de la continuidad del negocio, desarrollando planes de continuidad conformes a metodologías de reconocido prestigio internacional. Dando respuestas a las amenazas que pueda sufrir ENERLIC en cuanto a inundaciones, actos vandálicos, incendios y otras amenazas similares. Se establece con el objetivo de minimizar daños y facilitar el restablecimiento de las operaciones.
• Establecimiento de las consecuencias de las violaciones de la política de seguridad, las cuales serán reflejadas en los contratos firmados con las partes interesadas, proveedores y subcontratistas.

5. Gestión del Riesgo

Conforme a la Norma ISO/IEC 27001:2022 la gestión de la Seguridad de la Información de ENERCLIC está basada en el riesgo. Por lo que se establece un plan de tratamiento del riesgo basado en:

• Identificación de amenazas.
• Análisis de riesgos.
• Evaluación de riesgos.
• Tratamiento de riesgos.

6. Organización y Responsabilidades

Las responsabilidades de la Seguridad de la Información de ENERCLIC recaen en:

• La Dirección General de ENERCLIC responsable de aprobar la actual política.
• El Comité de Gestión de la Seguridad de la Información, responsable de establecer y revisar la presente política.
• El Responsable de sistemas de gestión de ENERCLIC, encargado de mantener la siguiente política.

La revisión de la Política de Seguridad de la Información debe ser revisada habitualmente junto con el resto de las Políticas Corporativas de ENERCLIC. Estableciéndose un marco de revisión regular que incluya, cuando sea necesario, los cambios relevantes en cuanto a los sistemas de seguridad de la información.

Esta Política proporciona el marco de referencia para la mejora continua del Sistema de Gestión de Seguridad de la Información así como para establecer y revisar los objetivos del Sistema de Gestión de Seguridad de la Información, siendo comunicada a toda la organización, siendo revisada anualmente para su adecuación y extraordinariamente cuando concurran situaciones especiales y/o cambios sustanciales en el Sistema de Gestión de Seguridad de la Información, estando a disposición del público en general.