Política de seguridad
1 Aprobación y entrada en vigor
Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política. Este texto aprobado por el Comité de Seguridad de la empresa
2 Introducción
GESTIÓN Y FINANIZAS 365 depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes de seguridad.
Desde la Gerencia de GESTIÓN Y FINANIZAS 365, siguiendo con nuestro planteamiento de mejora continua, enfocamos nuestras líneas estratégicas de
Seguridad de la Información en la triada CIA (confidencialidad, integridad y disponibilidad). Nos comprometemos a evidenciar el desarrollo e implementación de un sistema de gestión de la seguridad en la información y ofrecer una mejora continua en nuestra actividad, para ello establecemos los siguientes principios:
• Llevar a cabo una formación y concienciación constante en el personal de la empresa en temas de Seguridad de la Información
• Cumplir con los requisitos de las normas ISO de Seguridad de la Información, de los requisitos establecidos con nuestros clientes relativos a seguridad de la información y de la reglamentación legislativa aplicable a nuestra actividad.
• Revisar periódicamente todos los datos obtenidos, el análisis de riesgos de seguridad de la información, para analizar y obtener conclusiones sobre nuestro funcionamiento y con ellos establecernos objetivos y metas de progreso.
• Cumplir y mejorar continuamente la eficacia del sistema de gestión de seguridad de la información.
• Promover la mentalización sobre esta política a todos los empleados para hacer frente común en nuestros objetivos.
2.1 Prevención
Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad de la información, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, los departamentos deben:
• Autorizar los sistemas antes de entrar en operación.
• Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
• Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
2.2 Detección
Dados que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.
La monitorización es especialmente relevante cuando se establecen líneas de defensa. Se establecerán mecanismo de detección, análisis y reporte que llegue a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
2.3 Respuesta
Los departamentos deben:
• Establecer los mecanismos para responder eficazmente a los incidentes de seguridad.
• Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
• Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
2.4 Recuperación
Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de negocio y actividades de recuperación.
3 Alcance
Esta política se aplica a todos los sistemas TIC de GESTIÓN Y FINANIZAS 365 y a todos los miembros de GESTIÓN Y FINANIZAS 365, sin excepciones. Todos los miembros deberán tener acceso en todo momento a este documento.
El alcance exacto es el siguiente:
“Consultoría Business Analitycs. Consultoría de procesos de negocios. Suministro, mantenimiento de productos tecnológicos. Formación en tecnologías informáticas”
4 Misión
5 Marco normativo
Según la legislación vigente, las leyes aplicables a GESTIÓN Y FINANIZAS 365 en materia de Seguridad de la Información son:
• Ley Orgánica 3/2018 de Protección de Datos de Carácter Personal (BOE de 5 de diciembre de 2018).
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual (BOE de 22 de abril de 1996).
GESTIÓN Y FINANIZAS 365 cumple con la legislación citada y con todos sus requisitos y dispone de asesoría legal.
6 Organización de la seguridad
6.1 Comités: Funciones y responsabilidades
El Comité de Seguridad de la Información coordina la seguridad de la información en GESTIÓN Y FINANIZAS 365.
El Comité de Seguridad de la Información estará presidido la Gerencia de GESTIÓN Y FINANIZAS 365 y formado por:
• Responsable de la Información: Sara Valle Carrasco
• Responsable de los Servicios: María García Capellán
• Responsable de Seguridad: Juan Luis Rodríguez Pardo
• Responsable del Sistema: Juan Luis Rodríguez Pardo El Comité de Seguridad tendrá las siguientes funciones:
• Informar regularmente del estado de la seguridad de la información al Comité de Seguridad de la Información de GESTIÓN Y FINANIZAS 365
• Promover la mejora continua del sistema de gestión de la seguridad de la información.
• Elaborar la estrategia de evolución de GESTIÓN Y FINANIZAS 365 en lo que respecta a seguridad de la información.
• Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con laestrategia decidida en la materia, y evitar duplicidades.
• Elaborar y revisar regularmente la Política de Seguridad de la Información paraque sea aprobada por el Comité de Seguridad de la Información de GESTIÓN Y FINANZIAS 365 Aprobar la normativa de seguridad de la información.
• Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.
• Monitorizar los principales riesgos residuales asumidos por GESTIÓN Y FINANIZAS 365 y recomendar posibles actuaciones respecto de ellos.
• Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.
• Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
• Aprobar planes de mejora de la seguridad de la información de GESTIÓN Y FINANIZAS 365. En particular velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
• Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
• Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas.
• Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
El Responsable de Seguridad tendrá como funciones:
• Convocar, según las indicaciones de la presidencia, las reuniones del Comité de Seguridad de la Información.
• Preparar los temas a tratar en las reuniones del Comité, aportando información
puntual para la toma de decisiones.
• Elaborar el acta de las reuniones.
• Llevar a cabo la ejecución directa o delegada de las decisiones del Comité.
6.2 Roles: Funciones de los miembros del comité
Las funciones de los miembros del Comité de Seguridad de la Información serán las siguientes:
Responsable de la Información
• Velar por el buen uso de la información y, por tanto, de su protección.
• Ser responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
• Establecer los requisitos de la información en materia de seguridad.
• Determinar los niveles de seguridad de la información.
Responsable de los Servicios
• Establecer los requisitos del servicio en materia de seguridad, incluyendo los correspondientes a interoperabilidad, accesibilidad y disponibilidad.
• Determinar los niveles de seguridad de los servicios.
Responsable de Seguridad
• Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad.
• Promover la formación y concienciación en materia de seguridad de la información.
Responsable del Sistema
• Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
• Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
• Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
6.3 Procedimientos de designación
Los responsables serán nombrados por el Comité de Seguridad de la Información. El nombramiento se revisará cada 2 años o cuando un puesto quede vacante.
6.4 Revisión de la Política de seguridad de la información
Será misión del Comité de Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La política será aprobada por el Comité de Seguridad de la Información de GESTIÓN Y FINANIZAS 365 y difundida para que la conozcan todas las partes afectadas.
7 Datos de carácter personal
GESTIÓN Y FINANIZAS 365 trata datos de carácter personal. En el registro de actividades del tratamiento publicado en la web donde se describe los tratamientos de datos personales que llevan a cabo en el mismo para dar cumplimiento al artículo 30 del RGPD. Además, cada uno de esos tratamientos incluye un análisis de riesgos para detectar esos posibles riesgos y mitigarlos o eliminarlos inherentes al tratamiento de datos personales.
8 Gestión de riesgos
Todos los sistemas sujetos a esta política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
• Regularmente, al menos una vez al año.
• Cuando cambie la información manejada
• Cuando cambien los servicios prestados.
• Cuando ocurra un incidente grave de seguridad.
• Cuando se reporten vulnerabilidades graves.
9 Desarrollo de la política de seguridad de la información
El propósito de esta Política de la Seguridad de la Información es proteger la información y los servicios de GESTIÓN Y FINANIZAS 365.
Es objetivo de esta Institución es asegurar que:
• La información y los servicios estén protegidos contra pérdidas de disponibilidad, confidencialidad e integridad.
• La información esté protegida contra accesos no autorizados.
• Se cumplan los requisitos legales aplicables.
• Se cumplan los requisitos del servicio respecto a la seguridad de la información y los sistemas de información.
• Las incidencias de seguridad sean comunicadas y tratadas apropiadamente.
• Se establezcan procedimientos para cumplir con esta Política.
• El Responsable de Seguridad de la Información sea el encargado de mantener esta Política, los procedimientos y de proporcionar apoyo en su implementación.
• El Responsable de Servicio sea el encargado de implementar esta Política y sus correspondientes procedimientos.
• Cada empleado sea responsable de cumplir esta Política y sus procedimientos según aplique a su puesto.
• GESTIÓN Y FINANIZAS 365 implemente, mantenga y realice un seguimiento del cumplimiento de las normativas que aplican a este SGSI.
10 Obligaciones del personal
Todos los miembros de GESTIÓN Y FINANIZAS 365 tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad de la Información disponer de los medios necesarios para que la información llegue a los afectados.
Todos los miembros de GESTIÓN Y FINANIZAS 365 atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de GESTIÓN Y FINANIZAS 365, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
11 Terceras partes
Cuando GESTIÓN Y FINANIZAS 365 preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando GESTIÓN Y FINANIZAS 365 utilice los servicios de tercero o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
