Seguridad de la informacion en Almirall
Almirall mantiene un Programa de Seguridad de la Información que tiene como objetivo la protección de la información estratégica y los procesos críticos del negocio, alineado con estándares del mercado como el Marco de Ciberseguridad NIST y la serie NIST 800-53.
La función de Seguridad de la Información en nuestra organización abarca desde la estrategia hasta las operaciones, y cuenta con la independencia organizativa, el empoderamiento y el patrocinio necesarios. La supervisión de la gestión de riesgos está integrada en los mecanismos de Gobierno Corporativo, con informes regulares al Comité de Dirección y, al menos dos veces al año, a la Comisión de Auditoría del Consejo de Administración. Esta supervisión se basa en el monitoreo de la madurez de los procesos de Seguridad de la Información y un conjunto seleccionado de indicadores clave de riesgo. Esta revisión regular también orienta la actualización anual del Programa de Seguridad de la Información.
El enfoque que Almirall aplica al Programa de Seguridad de la Información es orientado al riesgo y holístico, cubriendo la tríada de Procesos, Tecnología y Personas, y todas las Funciones del CSF de NIST: Identificar, Proteger, Detectar, Responder y Recuperar, con especial énfasis en lograr ser una organización ciber-resiliente.
La empresa también se enfoca constantemente en la concienciación del personal a todos los niveles, con planes específicos que se rediseñan cada año para asegurar un alto impacto, una formación creciente entre los empleados y una fuerte primera línea de defensa. Los otros proyectos e iniciativas tienen como objetivo alcanzar y mantener los niveles de madurez deseados y mantener los riesgos en niveles aceptables, en línea con el perfil de riesgo de la empresa. Se cuenta con una póliza de seguro de ciberseguridad como estrategia de última línea de defensa.
En Almirall, nuestro Programa de Seguridad de la Información está integrado con la Privacidad de Datos, se guía por los principios de seguridad desde el diseño y seguridad por defecto, y cubre la gestión de riesgos de terceros con un enfoque orientado al riesgo.