ACCESO EMPLEADOS | Facebook Instagram Youtube
GESTIÓN DEL MEDIO RURAL DE CANARIAS
Gobierno de Canarias

Política de calidad

by

La Política de Calidad, PRL y de Seguridad de la Información de GMR Canarias se basa en los sistemas de calidad ISO 9001, ISO 27001 y Esquema Nacional de Seguridad (ENS). El Sistema de información de GMR es de categoría MEDIA ya que algunas dimensiones de seguridad alcanzan el nivel MEDIO, y ninguna alcanza un nivel superior. Responde a la inquietud de mejora e innovación en el desarrollo y gestión con alto nivel de prestaciones acorde a los requisitos reglamentarios y legales, así como los específicos de los beneficiarios de sus políticas y de sus clientes. La orientación y el valor para la sociedad y los clientes debe además facilitar las actividades con un consumo racional de los recursos ambientales, así como asegurar la información soportada en las Tecnologías de la Información.

Gestión del Medio Rural de Canarias, S.A.U. (GMR Canarias) es una sociedad mercantil pública adscrita a la Consejería de Agricultura, Ganadería y Pesca clasificada como medio propio del Gobierno de Canarias según define el artículo 32 de la LCSP.

En la actualidad, es medio propio y servicio técnico propio de la Administración Pública de la Comunidad Autónoma de Canarias, tal y como se reconoce en el Decreto 188/2001 del 15 de octubre, con el que se determina su finalidad de servir como instrumento para la ejecución de la política agropecuaria y pesquera del Gobierno de Canarias.

Es definida y revisada periódicamente por la Dirección.

GMR Canarias establece su:

· PROPÓSITO como Medio Propio: participar en la ejecución de las políticas fijadas por el Gobierno de Canarias.
· PROPÓSITO como Comercializadora: concentrar la oferta de pequeños productores para que puedan acceder al mercado.
· VISIÓN: empresa profesional, con personal técnico altamente cualificado, innovadora y eficaz en la prestación de servicios, además de responsable con las reglas de mercado en la actividad de comercialización enfocada a favorecer a los pequeños productores.
· VALORES: transparencia, entrega y vocación de servicio público.

VALORES CORPORATIVOS:

  • Transparencia: responsabilidad ética de la organización que se traduce en la claridad en todos los actos y la absoluta ausencia de ambigüedad en las acciones, así como la información relevante sobre los objetivos, actuaciones y resultados de la empresa.
  • Regulación: principio de cumplimiento estricto de las disposiciones legales y administrativas vigentes.
  • Normalización: la empresa establece para sí misma y propone al sector actuaciones de normalización, procedimentación y buenas prácticas, que permitan racionalizar sus actuaciones corporativas.
  • Profesionalidad: los trabajadores de la empresa como ejemplo de exigencia, conocimiento, capacidad y preparación adecuada y suficiente para garantizar el ejercicio de cada rol laboral para el cumplimiento de los propósitos de la empresa.
  • Innovación: apuesta por la creatividad, la originalidad, la investigación y desarrollo y la superación en términos de gestión que sitúen a la empresa como puntera y ejemplo para el sector.
  • Trabajo en equipo: filosofía de que alberga la voluntad colectiva para conseguir los objetivos comunes.
  • Calidad: la calidad total debe constituir un axioma en la cultura de empresa, una exigencia en la gestión y una contribución esencial al cumplimiento de los objetivos.
  • Generación de información: como herramienta de trabajo esencial que además debe ponerla al servicio del sector para facilitar su desarrollo y garantizar su competitividad.
  • Cercanía: al productor, a los clientes, a los mercados, que garantice una relación estrecha y una comunicación constante que permitan conocer de primera mano las necesidades del sector para dar servicio y apoyo.
  • Mejora continua: constituye la capacidad de la organización para mejorar a través del cambio, de la introducción de elementos que supongan el desarrollo de la organización y en su capacidad de adaptación al entorno.

Esta política se aplica a todos los sistemas -incluidos los TIC- de GMR Canarias y a todos los miembros de la organización, sin excepciones.

GMR Canarias depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.

Se adoptan los principios básicos del Esquema Nacional de Seguridad, que tienen por objeto asegurar que una organización podrá cumplir sus objetivos utilizando sistemas de información. En las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:

1. Seguridad integral.
2. Gestión de riesgos.
3. Prevención, reacción y recuperación.
4. Líneas de defensa.
5. Reevaluación periódica.
6. Función diferenciada.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC están protegidos contra amenazas de rápida evolución con potencial para incidir en la autenticidad, trazabilidad, confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para la defensa de estas amenazas, se dispone de una estrategia adaptada a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad y el SGSI, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos se cercioran de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación son identificadas e incluidas en la planificación y en la solicitud de ofertas TIC.

Alcance de la Política de Calidad

· Comercialización de productos agrarios y alimentarios en general de Canarias.
· Gestión de proyectos orientados al desarrollo de los sectores agropecuarios, pesquero, media ambiental y del entorno rural en el ámbito de la Comunidad Autónoma de Canarias.

Alcance ISO 27001 SGSI (Sistema de gestión de la seguridad de la información) y el ENS (Esquema Nacional de Seguridad) de nivel medio.
Los sistemas de información que dan soporte a los servicios de gestión de:

  • Proyectos de pesca, ganadería, agricultura, políticas europeas y nuevas tecnologías,
  • Las actividades de comercialización y promoción de productos agrarios y agroalimentarios,
  • Así como los servicios centrales de recursos humanos, financiero, cumplimiento normativo, contratación y sistemas informáticos, de acuerdo con la vigente declaración de aplicabilidad.

Política de Calidad y Seguridad de la Información

La Dirección se compromete a proveer productos y servicios que satisfagan de manera consistente las necesidades y expectativas de la sociedad, del sector primario y de
nuestros clientes.

Todo el personal está involucrado en el cumplimiento de esta política.

La gestión de la Calidad y SGSI es parte integrante y fundamental de nuestra organización. Esta política es marco de referencia para el establecimiento de los objetivos de calidad y SGSI.

Para lograr el máximo nivel de calidad y seguridad en nuestros procesos y servicios, nos fundamentamos en los procesos establecidos y revisados de gestión de Calidad y SGSI, que tienen como finalidad lograr el cumplimiento de los siguientes compromisos, propósitos y objetivos:

· Cumplir con los requisitos contemplados en la norma ISO 9001 (Sistema de Gestión de la Calidad).
· Cumplir con los requisitos contemplados en la norma ISO 27001 (Sistema de Gestión de la Seguridad de la Información).
· Cumplir los requisitos del Esquema Nacional de Seguridad (ENS) de nivel medio, que se encuentra definido en los procesos del SGSI.
· Tener identificado el marco legal regulatorio del Esquema Nacional de Seguridad y su actualización continua en cumplimiento legal.
· Cumplir con los requisitos legales, reglamentarios y estatutarios del cliente, así como otros requisitos que afecten, asegurando el cumplimiento de dichos requisitos y seguridad de la información.
· Mejorar continuamente la eficacia del sistema de gestión, la toma de medidas para la prevención y la mejora continua de las medidas de seguridad y garantías de la salud de los trabajadores, facilitando la participación en las decisiones que les afecta, así como el derecho a ser consultados.
· Analizar y maximizar la satisfacción de los clientes con nuestros productos y servicios.
· Nuestra continua orientación hacia la excelencia está fundamentada en una temprana identificación y erradicación de las fuentes de los errores. La prevención y anticipación es prioritaria frente a la corrección.
· Lograr la motivación de nuestros recursos humanos, su capacitación, cualificación y experiencia, a través de las actividades apropiadas de selección, formación y adiestramiento.
· Establecer y mantener los cauces de comunicación e información permanente con nuestros clientes, empleados, proveedores y sociedad en general.
· La Política de Calidad y SGSI se pone a disposición del público y de las partes interesadas para su información y conocimiento.
· El propósito de esta Política de la Seguridad de la Información es proteger los activos de información de GMR Canarias y de nuestros clientes.
· El objetivo de esta Política de la Seguridad de la Información es trabajar en un entorno seguro y controlado siendo este objetivo fundamental el marco de referencia para todas las actividades y servicios que prestamos.
· La Dirección tiene el compromiso de cumplir los requisitos aplicables a la seguridad de la información y aportar los medios que se requieran para dicho cumplimiento.

Así mismo:

· La información almacenada y en tránsito está protegida contra pérdidas de: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad (DAICT).
· La información está protegida contra accesos no autorizados.
· Se cumplen los requisitos del negocio respecto a la seguridad de la información y los sistemas de información.
· Las incidencias de seguridad son comunicadas y tratadas apropiadamente.

La Dirección dota al Sistema de Gestión de todas las herramientas precisas, documental e informáticamente establecidas, para asegurar que la Política de Calidad y de SGSI sea: comprendida, desarrollada, aplicada y continúe vigente en todos los niveles de la organización.

Para poder cumplir con estos compromisos, la empresa establece anualmente (aprovechando la revisión y análisis del Sistema de Gestión por la Dirección, así como el análisis de Riesgos/Oportunidades con las partes interesadas y los procesos), una serie de objetivos y metas de Calidad y SGSI, relacionados de forma directa con nuestro compromiso y objetivos de gestión relacionado con el incremento y consolidación del negocio, y seguridad de la información, que pueden tener carácter cualitativo o cuantitativo, pero en cualquier caso, deben ser verificables en cuanto a cumplimiento y efectividad.

La Dirección, evalúa el avance en la consecución de estos objetivos cuando efectúa la revisión periódica del Sistema de Gestión.

Dentro de las Políticas de Seguridad de la Información, GMR Canarias está preparado para prevenir, detectar, reaccionar y recuperarse de incidentes.

PREVENCIÓN
GMR Canarias evita que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos tienen implementadas las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, están claramente definidos y documentados.

Para garantizar el cumplimiento de la política, GMR Canarias:

  • Autoriza los sistemas antes de entrar en operación.
  • Evalúa regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicita la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

DETECCIÓN
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios monitorizan las operaciones de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido.

Están establecidos mecanismos de detección, análisis y reporte que llegan a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

RESPUESTA
Se dispone de mecanismos para responder eficazmente a los incidentes de seguridad. El punto de contacto para las comunicaciones con respecto a incidentes es infosgsi@gmrcanarias.com. El protocolo para el intercambio de información relacionada con el incidente se establece por medio del proceso de gestión de No Conformidades e incidentes del SGSI. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CCCN-CERT).

RECUPERACIÓN
Para garantizar la disponibilidad de los servicios críticos, GMR Canarias dispone de planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

Principios de la Política de Seguridad de la Información de GMR Canarias

Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de forma que esté coordinada e integrada con el resto de iniciativas estratégicas para conformar un todo coherente y eficaz; integrado con las normas ISO 9001 de Gestión de Calidad, ISO 27001 de Gestión de la Seguridad de la Información y el Esquema Nacional de Seguridad.

Responsabilidad diferenciada: Los sistemas de información diferencian el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad sobre la prestación de los servicios; y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.

Seguridad integral: La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.

Gestión de Riesgos: El análisis y gestión de riesgos es parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad.

Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación es proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.

Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información es atendida, revisada y auditada por personal cualificado, instruido y dedicado, liderado por el Responsable de Seguridad de GMR Canarias.

Seguridad por defecto: Los sistemas se diseñan y configuran de forma que garanticen un grado suficiente de seguridad por defecto.

La estructura de la documentación del SGSI se gestiona y mantienen en vigor por la dirección en Qualitas CLOUD, y el repositorio GMR a la cual tienen acceso todos los miembros de la organización.

Políticas específicas y responsabilidades

Estas políticas se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios básicos de la Política de Seguridad de la Información acorde al ENS y el RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y su modificación mediante RD 951/2015, que inspiran las actuaciones de GMR Canarias.

1. Protección de datos de carácter personal: GMR Canarias adopta las medidas técnicas y organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa vigente en relación con el tratamiento de los datos de carácter personal, cumpliendo el RGPD.

2. Gestión de activos de información: Los activos de información de GMR Canarias están inventariados y categorizados y están asociados a un responsable.

3. Seguridad ligada a las personas: se tienen implantados los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.

4. Seguridad física: Los activos de información están emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas están suficientemente protegidos frente a amenazas físicas o ambientales.

5. Seguridad en la gestión de comunicaciones y operaciones: se tienen establecidos los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las Tecnologías de la Información y Comunicaciones. La información que se transmite a través de redes de comunicaciones está adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garantizan su seguridad.

6. Control de acceso: se limitará el acceso a los activos de información por parte de usuarios, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. Además, queda registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a las actividades de GMR Canarias.

7. Adquisición, desarrollo y mantenimiento de los sistemas de información: se contemplan los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.

8. Gestión de los incidentes de seguridad: se dispone de los mecanismos apropiados para la correcta identificación, registro y resolución de los incidentes de seguridad.

9. Gestión de la continuidad: se dispone de los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de los procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus usuarios.

10. Cumplimiento: se adoptan las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información a través del Qualitas CLOUD.

Normativa

· RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
· RD 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010 Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
· Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.

Estructura organizativa

La estructura organizativa para la gestión de la seguridad de la información en el ámbito descrito por la Política de Seguridad de la Información de GMR Canarias está compuesta por los siguientes agentes:
El Comité de Calidad y Gestión de Seguridad de la Información SGSI está compuesto por:

  • Responsable de Coordinación
  • Responsable del Sistema de Información
  • Responsable de Seguridad

Política de Prevención de Riesgos Laborales

La Dirección de GMR Canarias declara su absoluto compromiso para asegurar los niveles de seguridad y salud e incrementar el bienestar de todos sus trabajadores en el desarrollo de sus funciones.

Atendiendo a esta declaración GMR CANARIAS asume la Política de Prevención de Riesgos Laborales (PRL) fundamentada en los siguientes principios:

1. La PRL y la mejora continua de las condiciones de seguridad y salud de los trabajadores son una prioridad en todas y cada una de las actividades que desarrolle la empresa, cuyo estricto cumplimiento condicionará la ejecución de cualquier tarea productiva, tarea que, en caso de duda, quedará en suspenso hasta que se garanticen las medidas de PRL necesarias.

2. Todo el personal de la empresa -operarios, mandos intermedios y personal directivo-, respecto a la PRL, asumirá su propia responsabilidad y la del personal a su cargo, y velará por el cumplimiento de la legislación, normas y procedimientos internos implantados para garantizarla.

3. Todo el personal de la empresa prestará especial atención para minimizar la exposición a accidentes laborales que, salvo incidentes fortuitos provocados por causas incontrolables, obedecen a situaciones predecibles, exceso de confianza y/o la inobservancia de los protocolos de actuación y, por tanto, son evitables.

4. El personal que debe desplazarse para el ejercicio de sus funciones -el más expuesto a incidentes causados por terceros- deberá tener especial atención a las condiciones de la conducción y planificar metódicamente las salidas con rutas realizables.

5. La formación continua, el acceso a la información y adiestramiento del personal son primordiales para trabajar con salud y seguridad, y por tanto, deben se ofertados por la empresa y exigidos por los trabajadores.

6. Es responsabilidad de todo el personal tratar de solucionar y comunicar cualquier deficiencia detectada que afecte al desarrollo de su trabajo que pueda ocasionar daños a las personas, a los medios de producción que utiliza o a las instalaciones, con el fin de que puedan ser corregidas lo antes posibles.

Fecha de aprobación: 04/04/2022