Política de Seguridad de la Información

La misión del Comité Español de ACNUR es la recaudación de fondos públicos y privados para ser destinados a la financiación de programas de ayudas a los refugiados y desplazados forzosos en el mundo, en el marco de los programas anuales del Alto Comisionado de las Naciones Unidades para los Refugiados (UNHCR/ACNUR) y de las emergencias humanitarias que se produzcan.

Conscientes de la trascendencia de la seguridad de la información en las actividades que realizamos, y en consonancia con el camino que marca nuestra propia identidad de que la información es un activo que tiene un gran valor para la organización y requiere por tanto de una protección adecuada, desde la Dirección General del Comité Español de ACNUR se ha impulsado el establecimiento de un Sistema de Gestión de la Seguridad de la Información de acuerdo a los requisitos de la norma ISO/IEC 27001:2013, con el fin de identificar, evaluar y minimizar los riesgos a los que se expone su información, la de sus socios y donantes, así como otras partes interesadas involucradas en la misión del Comité Español de ACNUR, independientemente de los formatos, soportes, medios de transmisión, sistemas o personas que intervengan en su conocimiento, procesado o tratamiento.

Es por eso por lo que la Dirección General del Comité Español de ACNUR establece, aprueba, implanta y mantiene una Política de Seguridad de la Información, cuyo propósito es sentar las bases del Sistema de Gestión para proteger nuestros activos de información. Esta Política se mantiene documentada y es objeto de revisión anual para su adecuación y extraordinariamente cuando concurran situaciones especiales y/o cambios sustanciales en el Sistema de Gestión de Seguridad de la Información.

La presente Política es adecuada al propósito, tamaño y contexto de esta organización y, por tanto, coherente con las actividades y servicios desarrollados por el Comité Español de ACNUR, tanto aquellos demandados por sus socios y donantes como por otras partes interesadas, así como de los demandados por el propio Comité. Además, está alineada con el resto de las políticas y códigos de conducta de nuestra asociación.

La Dirección General del Comité Español de ACNUR asume los siguientes compromisos fundamentales de seguridad de la información:

  • Cumplimiento: cumplir con los requisitos legales, sectoriales y contractuales aplicables a la seguridad de la información, así como aquellos otros requisitos que el Comité Español de ACNUR suscriba, en especial aquellos relacionados con la protección de datos de carácter personal, seguridad de los sistemas, intercambio de información, propiedad intelectual, comunicaciones y transacciones de pagos.
  • Análisis y gestión del riesgo: analizar los riesgos y vulnerabilidades a los que están expuestos los activos de información del Comité Español de ACNUR, para minimizar los riesgos hasta niveles aceptables o eliminar los mismos, a través de la implantación de los objetivos de control y los controles correspondientes en equilibrio entre las medidas de seguridad, la naturaleza de la información y el riesgo.
  • Confidencialidad, integridad y disponibilidad:

    - Preservar la confidencialidad de la información de forma permanente, de tal manera que sólo tengan acceso a la misma las personas autorizadas, evitando el acceso y la difusión a toda persona o sistema no autorizado.
    - Asegurar la integridad de la información con la que se trabaja, de modo que sea concisa y precisa, incidiéndose en la exactitud, tanto de su contenido como de los procesos involucrados, así como evitando la manipulación, alteración o borrado accidentales o no autorizados.
    - Garantizar la disponibilidad de la información, de forma que los usuarios y sistemas que lo requieran puedan acceder a la misma de forma adecuada para el cumplimiento de sus responsabilidades y siempre que ello sea necesario.

  • Continuidad: Establecer planes de contingencia y continuidad, y probar los mismos de manera periódica, para garantizar la confidencialidad, integridad y la disponibilidad de la información y de los sistemas, incluso en situaciones adversas.
  • Concienciación y formación: establecer e implantar programas de formación, sensibilización y campañas de concienciación para todo el personal en materia de seguridad de la información, siendo fundamental el conocimiento y la comprensión de los problemas asociados a la seguridad de la información y de sus responsabilidades respectivas.
  • Incidencias de seguridad: prevenir, comunicar y tratar los incidentes de seguridad que puedan comprometer al Comité Español de ACNUR, sus socios y donantes, u otras partes interesadas, así como el aprendizaje de estas para la mejora continua de la seguridad, y que no vuelvan a repetirse en el tiempo.
  • Relación con proveedores: establecer y acordar con los proveedores que tienen acceso, tratan, almacenan o intercambian información propiedad del Comité Español de ACNUR los requisitos de seguridad pertinentes y los niveles de servicio requeridos; así como con aquellos sobre los que se adquiere, desarrollan y mantienen sistemas de información del Comité Español de ACNUR.
  • Mejora continua: establecer anualmente objetivos de mejora continua por parte del Comité de Seguridad de la Información y en concordancia con la Dirección General del Comité Español de ACNUR, tomando como marco de referencia la presente Política, así como la mejora continua del Sistema de Gestión de Seguridad de la Información; orientando nuestros esfuerzos a aumentar el grado de eficacia de los controles de seguridad implantados en la organización; la prevención de errores; el mantenimiento de seguridad de la información; la adaptación a la constante evolución de los riesgos, amenazas y del entorno tecnológico; y la aplicación de las mejoras prácticas en materia de seguridad existentes.

La Dirección General del Comité Español de ACNUR se compromete a difundir y hacer pública esta Política a todas sus partes interesadas, considerando especialmente relevante su conocimiento por parte del personal que trabaja para y en nombre del comité, pues es de obligado cumplimiento, y fundamentalmente de las personas encargadas de la realización de las actividades comprendidas dentro de los sistemas de información del Comité Español de ACNUR, asumiendo las responsabilidades en materia de seguridad y sobre los activos de información a su cargo.

Francesco Sciacca, Director General, Comité Español de ACNUR.

4 de febrero de 2020