POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN


1. ​Objeto y alcance

Ontinet.com es una empresa española especializada en la distribución mayorista de soluciones, servicios y asesoría en ciberseguridad. Reconocida por ser el distribuidor exclusivo en España de marcas líderes como ESET, proporcionamos tecnologías avanzadas que protegen a organizaciones de todos los tamaños frente a amenazas digitales.

La presente Política establece el marco general de actuación en materia de seguridad de la información de Ontinet.com, aplicable a todos los servicios, sistemas de información, empleados, colaboradores y terceros que traten información bajo nuestra responsabilidad.

2. ​Alcance

Esta política se aplica a todos los sistemas TIC de y a todos los miembros de la organización y a todos los contratistas o proveedores que tienen acceso a los sistemas de información.

3. ​Marco normativo

La organización adopta un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a:

  • ISO/IEC 27001
  • Esquema Nacional de Seguridad (ENS), categoría ALTA
  • Legislación vigente en materia de protección de datos y normativa sectorial aplicable

4. ​Principios de seguridad

La seguridad se gestiona conforme a los siguientes principios:

  • Seguridad integral y gestión basada en riesgos.
  • Prevención, detección, respuesta y recuperación ante incidentes.
  • Vigilancia continua y reevaluación periódica.
  • Diferenciación de responsabilidades.
  • Proporcionalidad y adecuación al nivel de riesgo

5. ​Objetivos

Esta Política establece los siguientes objetivos generales de seguridad de la información, que servirán de marco de referencia para la definición de objetivos específicos, medibles y revisables en el contexto del Sistema de Gestión de la Seguridad de la Información (SGSI):

  • Garantizar la calidad y protección de la información, asegurando su confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
  • Concienciar a los usuarios respecto a sus responsabilidades en materia de seguridad de la información, fomentando una cultura de seguridad sólida en toda la organización.
  • Proteger los activos de información mediante controles de acceso físicos apropiados, y asegurar que los sistemas estén protegidos frente a amenazas físicas o ambientales.
  • Gestión de incidentes de seguridad: implantar mecanismos eficaces de identificación, registro, análisis, notificación y resolución de incidentes que afecten a la seguridad de la información.
  • Continuidad de los servicios: adoptar medidas técnicas y organizativas que aseguren la disponibilidad de los sistemas críticos y la continuidad de los procesos de negocio.
  • Protección de datos personales: aplicar medidas de seguridad que permitan cumplir con la normativa vigente en materia de privacidad y protección de datos personales.
  • Cumplimiento normativo: garantizar el cumplimiento de la legislación aplicable y de las políticas internas en materia de seguridad de la información.

Estos objetivos serán revisados periódicamente y desarrollados en planes e indicadores específicos, conforme al principio de mejora continua del SGSI, y en función de los riesgos identificados, los requisitos de las partes interesadas y el contexto de la organización.

6. ​Organización de la seguridad

La implantación de la Política de Seguridad en la organización requiere que todos sus miembros entiendan sus obligaciones y responsabilidades en función del puesto desempeñado. Como parte de la Política de Seguridad de la Información, cada rol especifico, personalizado en usuarios concretos, debe entender las implicaciones de sus acciones y las responsabilidades que tiene atribuidas, quedando identificadas y detalladas en esta sección, y que se agrupan del modo siguiente: 

  • El Comité de Seguridad de la Información 
  • Responsable del Servicio 
  • Responsable de la Información 
  • Responsable de Seguridad de la Información 
  • Responsable del Sistema

7. ​Gestión de incidentes

Se dispone de procedimientos formales para:

  • Detección y notificación de incidentes.
  • Respuesta y contención.
  • Recuperación del servicio.
  • Comunicación a autoridades competentes cuando sea requerido.

8. ​Continuidad del negocio

La organización mantiene planes de continuidad y recuperación que garantizan la prestación de los servicios críticos ante situaciones de contingencia grave.

9. ​Revisión y aprobación

Será misión del Comité de Seguridad TIC la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por y difundida para que la conozcan todas las partes afectadas.