EPRESA ENERGIA S.A. depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, trazabilidad, autenticidad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.
Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo legislación RD 311/2022.
Desde su constitución, el objetivo de EPRESA ENERGÍA, S.A., es prestar servicio a sus clientes cumpliendo los requisitos establecidos, de forma que obtengan la máxima satisfacción con nuestros servicios y garantice la máxima privacidad y seguridad de la información. Dicho objetivo de satisfacción de nuestros clientes y confidencialidad de la información es la piedra angular de nuestra política, entendiendo la satisfacción como el cumplimiento de los compromisos contraídos de la forma más eficiente posible, a la vez que se procura cumplir con las expectativas no contractuales derivadas de las necesidades descubiertas en la ejecución del servicio y relacionadas con el mismo, que el propio cliente nos comunica. Mediante la aplicación de un Sistema de Gestión de la Seguridad de la Información (SGSI), basado en los requisitos del Esquema Nacional de Seguridad conforme al RD 311/2022 , se persigue una mejora continua en la calidad de los servicios que desarrolla nuestra organización, así como un compromiso de mejora técnica de nuestros activos, sistemas y procesos y los de nuestros proveedores, para garantizar una adaptación, de forma continuada, a las necesidades tecnológicas de nuestros clientes. Para ello, EPRESA ENERGÍA, S.A, recoge en esta Política, los pilares básicos de la Organización para alcanzar la mejora continua de la eficacia de dicho sistema de Gestión, que servirán de base al establecimiento de nuestros objetivos anuales:
- Asegurar la satisfacción de sus clientes basándose en un trato siempre correcto y en un esfuerzo continuo en la prestación del servicio en base a sus requisitos y a nuestros compromisos de actualizaciones y mejoras.
- Cumplir con los requisitos de los clientes y de sus grupos de interés, así como con los requisitos legales y reglamentarios que afecten a la realización y prestación de los servicios prestados.
- Cumplir con los requisitos legales que le son de aplicación, así como con aquellos requisitos que la organización suscriba evaluando continuamente dicho cumplimiento, en todas sus áreas de actividad.
- Evaluar los riesgos de la organización, de todos los procesos realizados y de los activos de información, previendo y evitando así desviaciones y tomando las oportunas decisiones para minimizar posibles no conformidades.
- Establecer procesos operacionales que salvaguarden a las personas, la propiedad, la información, los datos y las aplicaciones o sistemas de uso para las instancias establecidas por la Organización.
- Velar por una continua y permanente actualización de nuestros recursos, tanto tecnológicos como humanos, fomentando políticas de información y formación continua profesional que les permita avanzar en sus conocimientos al ritmo que lo hace nuestro sector, fomentando la concienciación de la seguridad de la información.
- Establecer y revisar regularmente los Objetivos, acordes con los compromisos que se asumen en esta declaración, fortaleciendo el compromiso y participación de todo el personal en el desarrollo y consecución de los mismos.
- Garantizar la mejora continua del Sistema, para constatar el compromiso asumido con los clientes, buscando una mejor organización interna del trabajo y cómo tratamos la información de nuestros clientes.
- Lograr que la seguridad de la información y el respeto a los datos personales sean una constante:
- Preservando la confidencialidad de la información y evitando su divulgación y el acceso por personas no autorizadas.
- Manteniendo la integridad de la información procurando su exactitud y evitando su deterioro.
- Asegurando la disponibilidad de la información en todos los soportes y siempre que sea necesaria.
La Dirección, por su parte, valora especialmente y establece como criterio principal para la estimación de sus riesgos la valoración de la disponibilidad, confidencialidad e integridad de su información y aún más de la de sus clientes.