1. OBJETO Y CAMPO DE APLICACIÓN

El objeto de este documento es definir una política que rija la forma en que la organización gestiona y protege la información y los servicios que considera críticos, la cual se compromete a cumplir de acuerdo con las garantías que requiere el Esquema Nacional de Seguridad, así como con el resto de la legislación vigente, y muy especialmente con aquélla relativa a la confidencialidad de la información y la protección de datos. Por tanto, la presente política se materializará y desarrollará mediante la articulación de un Sistema de Gestión de Seguridad de la Información documentado y con un proceso regular de aprobación.

2. DOCUMENTACIÓN

2.1 Estándares y regulaciones externas

  • UNE-ISO/IEC 27001:2017 Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos.
  • UNE-ISO/IEC 27002:2015 Código de Buenas Prácticas para la Gestión de la Seguridad de la Información.

2.2 Principal legislación

  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

2.3 Otra documentación de referencia

  • N/A

3. TÉRMINOS Y DEFINICIONES

  • N/A.

4. DESCRIPCIÓN

4.1 Objetivos de la organización

La Dirección de Global Technology, consciente del compromiso que contrae con sus clientes, la importancia del cuidado de la seguridad integral ha establecido en su organización un Sistema de Gestión de la Seguridad de la Información basado en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, atendiendo a los siguientes objetivos:

  • Asegurar que los servicios prestados y productos suministrados son seguros, fiables, cumplen con los pliegos de condiciones, normas e instrucciones aplicables, se adaptan a los requisitos y expectativas de sus clientes y mejoran continuamente.
  • Mantener al día la legislación aplicable y cumplir todos los requisitos legales y normativos establecidos en materia de calidad, gestión ambiental y seguridad de la información, asociados a nuestras actividades y aspectos que sean de obligado cumplimiento y también aquellos que suscribamos voluntariamente.
  • Conseguir y mantener el nivel de seguridad requerido para garantizar de forma adecuada la continuidad del negocio, incluso en situaciones adversas.
  • Incrementar la integración y el apoyo mutuo de los aspectos físicos y lógicos de la seguridad.
  • Asegurar la disponibilidad, confidencialidad, integridad, trazabilidad y autenticidad de la información.
  • Establecer la estructura corporativa de seguridad definida por los órganos de decisión de la organización y crear los canales de comunicación adecuados entre todos los implicados.
  • Proteger a las personas que trabajan en la empresa, la confidencialidad y disponibilidad de sus comunicaciones y la integridad de su información. También vela por los demás activos que componen el patrimonio de la compañía, como son las instalaciones o los contenidos de todo género.
  • Implicar, motivar y comprometer al personal propio y aquel que trabaje en nombre de Global Technology, con objeto de buscar su participación en la gestión, desarrollo y aplicación del sistema de gestión de la Seguridad de la Información implantado.
  • Establecer e implantar planes de formación y divulgación en seguridad para la mejora continua de la formación del personal.

4.2 Marco legal y regulatorio en el que se desarrollan las actividades

Esta política de seguridad se establece y será desarrollada aplicando los siguientes procedimientos, en los cuales se contemplan las garantías que prevén en el Esquema Nacional de Seguridad, así como en el resto de normativa vigente, y muy especialmente en aquélla relativa a la protección de datos y la confidencialidad de la información:

  • Marco organizativo
  • Marco operacional
  • Medidas de protección
  • Política de Gestión integral
  • Manual de los sistemas gestión
  • Gestión de SGSI
  • Proceso de autorización
  • Gestión documental
  • Comunicación
  • Metodología para el análisis y gestión de riesgos
  • Análisis y evaluación de riesgos
  • Roles y responsabilidades en seguridad de la información
  • Uso aceptable y responsable de los activos de información
  • Gestión de los RRHH
  • Externalización
  • Seguridad Física y Áreas Seguras
  • Continuidad del negocio
  • Clasificación, Etiquetado y Tratamiento de la Información
  • Cumplimiento Legal
  • Evaluación Proveedores
  • Adquisición de SW
  • Copias de Seguridad
  • Gestión de accesos, privilegios y asignación de activos
  • Uso y Servicios de Red
  • Acceso lógico a sistemas y aplicaciones
  • Gestión de parches

Todo ello, procurando dar respuesta, entre otras, a las siguientes normas y regulación:

  • ISO 27001 Sistemas de Gestión de Seguridad de la Información
  • Reglamento (UE) n. º 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la Información y Comercio Electrónico (LSSI).
  • Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público.
  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y su modificación según el Real Decreto 311/2022, de 3 de mayo (se tendrá en cuenta el último texto consolidado).

4.3 Roles y funciones de seguridad

4.3.1 Responsable de la información

El responsable de la información será el propietario de la misma y tendrá las siguientes funciones;

  • Clasificar la información conforme a los criterios y categorías establecidas en el ENS y en cada una de las dimensiones de seguridad conocidas y aplicables (disponibilidad, autenticidad, trazabilidad, confidencialidad e integridad), dentro del marco establecido en el Anexo I del ENS.
  • Trabajar en colaboración con el responsable de seguridad y el del sistema en el mantenimiento de los servicios de administración electrónica catalogados.
  • Apoyar la realización de los análisis de riesgos y valorar las diferentes opciones de gestión del riesgo a implantar.
  • Valorar y decidir, junto con los Responsables de los Servicios, los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
  • Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes que puedan tener acceso a información de los procedimientos administrativos que gestiona y realizar el seguimiento de su cumplimiento.

En lo concerniente al procedimiento para su designación y renovación, será responsable de la información cada responsable de área respecto a la información concerniente a su área. En este sentido, su designación irá aparejada a la asunción de dicho puesto de trabajo y la renovación dependerá del mantenimiento en el mismo.

4.3.2 Responsable del servicio

El responsable del servicio será quien determine los requisitos de los servicios prestados, en consonancia, tendrá las siguientes funciones:

  • Establecer los requisitos del servicio en materia de seguridad, o, en terminología del ENS, la protestad de determinar los niveles de seguridad de los servicios.
  • Clasificar los servicios conforme a los criterios y categorías establecidas en el ENS y en cada una de las dimensiones de seguridad conocidas y aplicables (disponibilidad, autenticidad, trazabilidad, confidencialidad e integridad), dentro del marco establecido en el Anexo I del ENS.
  • Atender a los requisitos de seguridad de la información, tales como disponibilidad, accesibilidad, interoperabilidad, etc. que se demanden en la prestación de los servicios.
  • Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes que puedan afectar a sus servicios y realizar el seguimiento de su cumplimiento

En lo que respecta al procedimiento para su designación y renovación, será responsable del servicio cada responsable de área respecto a los servicios que conciernan a su área. En este sentido, su designación irá aparejada a la asunción de dicho puesto de trabajo y la renovación dependerá del mantenimiento en el mismo. En los proyectos conjuntos, se designará cómo Proyect Manager al Responsable del área con mayor peso en el servicio, recayendo sobre este la responsabilidad del servicio.

4.3.3 Responsable de seguridad

El responsable de seguridad será quien tome las decisiones adecuadas para satisfacer los requisitos de seguridad de la información y de los servicios. Dispondrá de las siguientes funciones:

  • Supervisar el cumplimiento de la presente Política, de sus normas y procedimientos derivados.
  • Asesorar en materia de seguridad a los integrantes Comité de Seguridad que así lo requieran.
  • Coordinar la interacción con otros organismos especializados.
  • Tomar conocimiento y supervisar la investigación y monitorización de los incidentes de seguridad.
  • Establecer las medidas de seguridad, adecuadas y eficaces para cumplir los requisitos de seguridad establecidos por los Responsables de los Servicios y de la Información, siguiendo en todo momento lo exigido en el Anexo II del ENS.
  • Asesorar, en colaboración con los Responsables de los Sistemas, los Responsables de los Servicios y de la Información, en la realización del análisis y gestión de riesgos, elevando el informe resultante al Comité de Seguridad.
  • Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.
  • Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad, siguiendo las directrices del Comité de Seguridad.
  • Realizar o promover las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones Comité de Seguridad en materia de seguridad.
  • Preparar los temas a tratar en las reuniones del Comité de Seguridad, aportando información puntual para la toma de decisiones.
  • Elaboración y revisión de la normativa de seguridad Comité de Seguridad.
  • Aprobación de los procedimientos de seguridad elaborados por el Responsable del Sistema.

En lo que concierne al procedimiento de designación y renovación, la figura del responsable de seguridad recaerá sobre el Director de Operaciones. En este sentido, su designación irá aparejada a la asunción de dicho puesto de trabajo y la renovación dependerá del mantenimiento en el mismo.

Asimismo, conviene señalar que éste es el encargado de convocar de manera regular reuniones de operaciones, las cuales buscan coordinar a los individuos que ostentan los roles de seguridad entre sí.

4.3.4 Responsable de los sistemas de información

El responsable de los sistemas de información, dentro de sus áreas de actuación, tendrán asignadas las siguientes funciones:

  • Desarrollo, operación y mantenimiento del sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Garantizar que las medidas de seguridad se integren adecuadamente dentro del marco general de la Seguridad de la Información.
  • Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.
  • Elaborar procedimientos técnicos de seguridad de los sistemas de información.
  • Elaborar planes de continuidad de los sistemas de información.
  • Colaborar para la realización del análisis de riesgos de los sistemas de información de los que es responsable.
  • Implementar, gestionar y mantener las medidas de seguridad aplicables al sistema de información.
  • Gestionar, configurar y actualizar, en su caso, el hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de información.

En lo que concierne al procedimiento de designación y renovación, la figura de responsable de los sistemas de información será el responsable del Área de Seguridad Corporativa y GRC. En este sentido, su designación irá aparejada a la asunción de dicho puesto de trabajo y la renovación dependerá del mantenimiento en el mismo.

4.3.5 Comité para la gestión y coordinación de la seguridad

La responsabilidad general de la seguridad de la información recaerá sobre el Responsable de Seguridad, siendo la responsabilidad última de la Dirección como máximo responsable del SGSI. Para mayor detalle, consúltese el apartado 4.4. Comité para la gestión y coordinación de la seguridad.

4.3.6 Alta Dirección

La Dirección de Global Technology asume la responsabilidad final y última del cumplimiento de la política. Del mismo modo, la Dirección analizará los riesgos y vulnerabilidades en materia de seguridad que puedan afectar al buen funcionamiento del negocio y propondrá las normas, medios y medidas procedentes para suprimirlos y en su defecto minimizarlos. A estos efectos, también estudiará los posibles riesgos ambientales.

La Dirección procederá a la revisión anual de la presente política y su modificación si fuera necesario. Es responsabilidad de toda la organización de Global Technology, el obligado cumplimiento de lo establecido en el sistema de calidad, medio ambiente y seguridad de la Información, y fundamentalmente de las personas encargadas de la realización de las actividades comprendidas dentro de los citados sistemas. asumiendo las responsabilidades en materia de seguridad y sobre los activos de información a su cargo.

4.3.7 Resolución en caso de conflicto de intereses

En caso de conflicto entre los diferentes responsables, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Responsable de Seguridad.

4.4 Comité para la gestión y coordinación de la seguridad

El Comité de Seguridad se materializará en el Comité de Operaciones, compuesto por el Director de Operaciones, quien preside el comité, y los responsables de las distintas áreas operativas de prestación de servicios, con voz y voto. El detalle de la composición del Comité de Seguridad, así como las obligaciones de cada rol en el ámbito de la seguridad de la información se determina actas del propio comité y en el apartado 4.3. Roles de seguridad del presente documento. El Comité de Operaciones se encuentra supeditado a la Dirección de Operaciones y ofrece un mecanismo de coordinación entre los responsables de las áreas de operaciones. Para más detalle, véase el documento Contexto de la organización.

4.5 Estructuración, gestión y acceso de la documentación de seguridad del sistema

La estructuración de la documentación se rige por el procedimiento reflejado en el documento Gestión documental, mientras que la gestión y el acceso se abordan en el documento Clasificación, tratamiento y etiquetado de la información.


Fdo.

Dirección General de Global Technology Fecha: 15/11/2022