Política de seguridad

En JUAN MOTILLA SL la seguridad de la información es un pilar de la confianza que depositan en nosotros clientes, proveedores y colaboradores. Esta Política, de alto nivel, define el objetivo, la dirección, los principios y las reglas básicas para la gestión de la seguridad de la información, y se aplica a todo el Sistema de Gestión de Seguridad de la Información (SGSI) de la organización, conforme a la norma internacional ISO/IEC 27001:2022.

La Dirección General declara su firme compromiso de proporcionar los recursos adecuados para la implementación, el mantenimiento y la mejora continua del SGSI, así como de cumplir todos los requisitos legales, reglamentarios y contractuales aplicables.


Objeto y alcance

Esta Política está dirigida tanto al personal de JUAN MOTILLA SL como a los terceros externos a la organización que se encuentran dentro del alcance del SGSI. Su finalidad es preservar la confidencialidad, la integridad y la disponibilidad de la información frente a amenazas internas o externas, deliberadas o accidentales.

La protección de la información se gestiona a partir de una evaluación de riesgos documentada, y los controles seleccionados para mitigarlos se recogen en la Declaración de Aplicabilidad del SGSI.


Principios fundamentales

Entendemos la seguridad de la información como la preservación de las siguientes propiedades:

  • Confidencialidad: la información solo está disponible para las personas o sistemas autorizados.
  • Integridad: la información solo es modificada por personas o sistemas autorizados y de una forma permitida.
  • Disponibilidad: las personas autorizadas pueden acceder a la información cuando resulta necesario.
  • Autenticidad: es posible verificar la veracidad y el origen de la información.
  • Trazabilidad: es posible rastrear los cambios realizados sobre la información desde su origen hasta su estado actual.

 

Nuestros compromisos

  • Objetivos medibles. Establecemos y medimos, al menos una vez al año, objetivos de seguridad alineados con la estrategia y los planes de negocio de la organización.
  • Cumplimiento. Cumplimos los requisitos legales, reglamentarios y contractuales relevantes en materia de seguridad de la información.
  • Gestión del riesgo. Seleccionamos los controles de protección mediante una metodología formal de evaluación y tratamiento de riesgos.
  • Mejora continua. Revisamos, mantenemos y mejoramos el SGSI de forma continua conforme a la norma ISO/IEC 27001.
  • Recursos. La Dirección garantiza la disponibilidad de los recursos necesarios para alcanzar los objetivos de esta Política.


Áreas de actuación

Esta Política se materializa en medidas concretas que se aplican de forma coordinada en todos los ámbitos relevantes para la protección de la información:

  • Acceso a las instalaciones. El acceso físico a las sedes y, en particular, a las áreas críticas como los centros de proceso de datos, está restringido al personal autorizado y queda sujeto a controles de identificación y registro.
  • Acceso a la red corporativa. Las redes se diseñan y segmentan de forma segura, regulando el tráfico entre segmentos y exigiendo la identificación y autenticación de usuarios y dispositivos antes de conceder cualquier acceso.
  • Identificación y autenticación. El acceso a los sistemas se rige por el principio de mínimo privilegio: cada persona dispone únicamente de los permisos necesarios para sus funciones, protegidos mediante credenciales personales e intransferibles.
  • Uso de los activos. Los activos de información se inventarían, clasifican y su utilización se ajusta a las normas de buen uso establecidas por la organización.
  • Uso de internet y del correo electrónico. Los recursos tecnológicos se emplean con fines profesionales y de forma responsable, evitando usos que puedan comprometer la seguridad de la información o la reputación de la organización.
  • Dispositivos móviles y teletrabajo. Los equipos que salen de las instalaciones mantienen un nivel de protección equivalente al interno, incluyendo el cifrado de la información que tratan.
  • Copias de seguridad. Se realizan copias de respaldo periódicas de los sistemas de información para garantizar la integridad y la disponibilidad de los datos ante cualquier contingencia.
  • Gestión de incidencias. Todo incidente o debilidad de seguridad se comunica y gestiona conforme a un procedimiento definido, orientado a su resolución y a la prevención de su repetición.
  • Relación con proveedores. Se evalúa la seguridad de los proveedores con acceso a información o sistemas y se incorporan los requisitos de seguridad adecuados en las relaciones contractuales.
  • Continuidad de negocio. Se mantiene y se prueba un Plan de Continuidad de Negocio que permite restablecer los servicios esenciales ante interrupciones significativas.