Compromiso de la Dirección

En CYC, entendemos que la seguridad de la información es un pilar fundamental para garantizar la confianza de nuestros clientes, empleados, proveedores y colaboradores. Por ello, la Dirección asume un compromiso firme y explícito con la protección de los activos de información, promoviendo una cultura organizacional basada en la responsabilidad, la prevención y la mejora continua.

Este compromiso se materializa en la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a la norma ISO/IEC 27001, que permite gestionar los riesgos, cumplir con los requisitos legales y contractuales, y asegurar la continuidad de las operaciones.

Objetivos de Seguridad

Los objetivos de esta política se centran en:

• Proteger los activos de información en función de su valor, criticidad y sensibilidad, aplicando medidas proporcionales a los riesgos identificados.
• Garantizar la confidencialidad, evitando accesos no autorizados; la integridad, asegurando que la información no sea alterada de forma indebida; y la disponibilidad, permitiendo el acceso a la información cuando sea necesario.
• Gestionar los riesgos de forma proactiva, identificando amenazas, evaluando impactos y aplicando controles adecuados.
• Preservar la privacidad de todas las partes interesadas, cumpliendo con la normativa vigente en materia de protección de datos.
• Mejorar continuamente el SGSI, adaptándolo a los cambios tecnológicos, normativos y organizativos.

Principios Rectores

Para alcanzar los objetivos anteriores, CYC se basa en los siguientes principios:

• Prevención de riesgos: Se establecen mecanismos para identificar, evaluar y mitigar los riesgos antes de que se materialicen, reduciendo la probabilidad de incidentes.
• Cumplimiento legal: Se garantiza el cumplimiento de todas las leyes, reglamentos y requisitos contractuales aplicables, incluyendo el RGPD, la LOPDGDD y el ENS.
• Concienciación y formación: Todo el personal recibe formación periódica en seguridad de la información, fomentando una actitud proactiva y responsable.
• Participación activa: Se promueve la implicación de todos los grupos de interés (stakeholders) en la mejora del SGSI, desde la alta dirección hasta los usuarios finales.
• Seguimiento y control: Se establecen indicadores y métricas que permiten evaluar el desempeño del SGSI y tomar decisiones basadas en evidencias.
• Mejora continua: Se revisan periódicamente los objetivos, procesos y controles, incorporando lecciones aprendidas y oportunidades de mejora.
• Sistema integrado: El SGSI se articula con otros sistemas de gestión de la organización, como calidad, medio ambiente o continuidad de negocio, favoreciendo una visión global y coherente.

Responsabilidades

La correcta implementación y mantenimiento del SGSI requiere una clara definición de responsabilidades:

• Dirección: Aprueba esta política, asigna los recursos necesarios y lidera el compromiso organizacional con la seguridad de la información.
• Comité de Seguridad: Órgano colegiado encargado de revisar la política, proponer mejoras, coordinar acciones y supervisar el cumplimiento de los objetivos.
• Responsable de Seguridad: Coordina las revisiones, elabora informes de mejora, convoca al comité y asesora sobre los aspectos técnicos y organizativos del SGSI.

Revisión y Actualización

La política será revisada:

• De forma periódica, en intervalos definidos por el Comité de Seguridad.
• Ante cambios significativos, como modificaciones legales, tecnológicas o estructurales que puedan afectar su vigencia o aplicabilidad.

El proceso de revisión incluye la elaboración de un informe por parte del Responsable de Seguridad, la evaluación por el Comité y la aprobación final por la Dirección. Una vez aprobada, la política será difundida y publicada en los canales oficiales.

Difusión y Aplicación

Esta política será publicada en la web corporativa de CYC y estará disponible para todos los empleados, clientes y partes interesadas. Su cumplimiento es obligatorio para todo el personal, y se promoverá su conocimiento mediante acciones de comunicación interna, formación y concienciación.