Aspa Cloud, como empresa dedicada al alojamiento de racks y servidores, telecomunicaciones, manos remotas 24×7, servicios cloud, monitorización, backup, operación, supervisión, explotación y gestión de los sistemas y plataformas alojados en sus instalaciones, manifiesta abiertamente su intención de ofrecer unos servicios competitivos a todos sus clientes; por dicho motivo, ha implantado un sistema de gestión seguridad de la información en el seno de la organización, cuyo principal objetivo es alcanzar los objetivos del negocio y la satisfacción de sus clientes garantizando en todo momento la seguridad de la información a través de unos procesos establecidos y fundamentados en un proceso de mejora continua, garantizando la continuidad de los sistemas de información minimizando los riesgos de daño y asegurando el cumplimiento de los objetivos fijados para asegurar en todo momento la confidencialidad, integridad y disponibilidad de la información.
Para ello asume su compromiso con la seguridad de la información según la norma de referencia ISO/IEC 27001:2022, por lo que la Dirección General establece los siguientes principios:
- Competencia y liderazgo por parte de la dirección como compromiso para desarrollar el sistema de Gestión de la Seguridad de la Información.
- Determinar las partes interesadas internas y externas que son pertinentes para el sistema de gestión de la Seguridad de la Información y cumplir con sus requisitos.
- Entender el contexto de la organización y determinar las oportunidades y los riesgos de la misma respecto a la seguridad de la información como base para la planificación de acciones para abordarlos, asumirlos o tratarlos.
- Velar por garantizar la satisfacción de nuestros clientes, incluyendo las partes interesadas en los resultados de la empresa, en todo lo referente a la realización de nuestras actividades y su repercusión en la sociedad.
- Establecer objetivos y metas enfocados hacia la evaluación del desempeño en materia de Seguridad de la Información, así como a la mejora continua en nuestras actividades, reguladas en el Sistema de Gestión que desarrolla esta política.
- Cumplimiento de los requisitos de la legislación aplicable y reglamentaria a nuestra actividad, los compromisos adquiridos con los clientes y las partes interesadas y todas aquellas normas internas o pautas de actuación a los que se someta la empresa.
- Asegurar la confidencialidad de los datos gestionados por la empresa y la disponibilidad de los sistemas de información, tanto en los servicios ofrecidos a los clientes como en la gestión interna, evitando alteraciones indebidas en la información.
- Asegurar la capacidad de respuesta ante situaciones de emergencia, restableciendo el funcionamiento de los servicios críticos en el menor tiempo posible.
- Establecer las medidas oportunas para el tratamiento de los riesgos derivados de la identificación y evaluación de activos.
- Motivar y formar a todo el personal que trabaja en la organización, tanto para el correcto desempeño de su puesto de trabajo como para actuar conforme a los requisitos impuestos por la Norma de referencia, proporcionando un ambiente adecuado para la operación de los procesos.
- Mantenimiento de una comunicación fluida tanto a nivel interno, entre los distintos estamentos de la empresa, como con clientes.
- Evaluar y garantizar la competencia técnica del personal para el desempeño de sus funciones, así como asegurar la motivación adecuada de éste para su participación en la mejora continua de nuestros procesos.
- Garantizar el correcto estado de las instalaciones y el equipamiento adecuado, de forma tal que estén en correspondencia con la actividad, objetivos y metas de la empresa
- Garantizar un análisis de manera continua de todos los procesos relevantes, estableciéndose las mejoras pertinentes en cada caso, en función de los resultados obtenidos y de los objetivos establecidos.
- Garantizar los requisitos básicos de seguridad de la información aplicables al diseño e implementación del servicio en la nube: riesgos de personas autorizadas con información privilegiada; multi-tenencia y aislamiento de clientes de servicios en la nube (incluida la virtualización).
- Garantizar el acceso a los activos del cliente del servicio en la nube por parte del personal del proveedor de servicios en la nube.
- Garantizar los procedimientos de control de acceso, por ejemplo, autenticación sólida para el acceso administrativo a los servicios en la nube, comunicaciones con los clientes de servicios en la nube durante la gestión del cambio.
- Garantizar la Seguridad de la virtualización.
- Garantizar el acceso y protección de los datos de los clientes de servicios en la nube
- Garantizar la gestión del ciclo de vida de las cuentas de clientes de servicios en la nube
- Garantizar la comunicación de infracciones y pautas de intercambio de información para ayudar en las investigaciones y análisis forenses.
Estos principios son asumidos por la Dirección General, quien dispone los medios necesarios y dota a sus empleados de los recursos suficientes para su cumplimiento, plasmándolos y poniéndolos en público conocimiento a través de la presente Política de Seguridad de la Información.
Manuel A. Fernández González
Director General