Tickamore

Política de Seguridad de la Información ENS

1. APROBACIÓN Y ENTRADA EN VIGOR

Texto aprobado el día 21 de Julio de 2022 por la Dirección General. Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

 

2. INTRODUCCIÓN

SICOMORO SERVICIOS INTEGRALES, S.L. depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS (Artículo 8. Prevención, detección, respuesta y conservación. Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.)

2.1. PREVENCIÓN

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, los departamentos deben: Autorizar los sistemas antes de entrar en operación.

• Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.

• Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

2.2. DETECCIÓN

Dado que los servicios se puede degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 10 del ENS. (Artículo 9. Vigilancia continua y Reevaluación periódica).

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del ENS. (Artículo 8. Existencia de Líneas de defensa).

Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

2.3. RESPUESTA

La Entidad ha establecido mecanismos para responder eficazmente a los incidentes de seguridad.

Se ha designado un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.

Se han establecido protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

2.4. RECUPERACIÓN

Para garantizar la disponibilidad de los servicios críticos, la entidad ha desarrollado planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

 

3. ALCANCE

Esta política se aplica a todos los sistemas TIC de la entidad y a todos los miembros de la organización, implicados en Servicios y Proyectos destinados al sector público, que requieran la aplicación de ENS, sin excepciones.

 

4. MISIÓN

Los principales objetivos que se persiguen son:

• Fomentar la relación electrónica del usuario con la Entidad o la de sus Clientes.

• Reducir tiempos de espera de atención al usuario.

• Acortar tiempos de espera en la resolución de trámites solicitados por el usuario.

• Desarrollar un sistema de gestión de información documental que facilite un rápido acceso del personal del servicio a la información solicitada por el usuario.

 

5. MARCO NORMATIVO

Esta política se enmarca en la siguiente legislación:

1. RD 311/2022 Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. BOE de 04 de mayo de 2022.

2. Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

3. Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

4. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

5. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

6. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

7. Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, modificada por la ley 11/1999, de 21 de abril.

 

6. ORGANIZACIÓN DE LA SEGURIDAD

6.1. COMITÉS: FUNCIONES Y RESPONSABILIDADES

El Comité de Seguridad TIC estará formado por:

• El Director Gerente de la Empresa= Titular, Responsable del Tratamiento, Responsable de la Información (RINFO), Responsable del Servicio (RSER).

• El Responsable Técnico= Responsable del Sistema (RSIS).

• El Responsable de Sistemas = Administrador de Seguridad y Administrador de Seguridad Delegados (AS &AS-D)

• El Responsable de los Sistemas de Gestión = Responsable de la Seguridad de la Información (RSEG), “Chief Informatión Security Officer” (CISO), Responsable de la Seguridad Corporativa (CSO).

• El Responsable de Soporte = Responsable del Sistema (RSIS).

• El Responsable de Administración = Responsable de Medidas de Seguridad especificas (RRHH), Secretario del Comité de Seguridad TIC.

El Secretario del Comité de Seguridad TIC será el Responsable de Administración que se encargará de convocar las reuniones del Comité y levantar acta de las mismas.

El Comité de Seguridad TIC reportará a la Gerencia de la Entidad.

El Comité de Seguridad TIC tendrá las siguientes funciones:

• Coordinar y aprobar las acciones en materia de seguridad de la información.

• Impulsar la cultura en seguridad de la información.

• Participar en la categorización de los sistemas y el análisis de riesgos.

• Revisar la documentación relacionada con la seguridad del sistema.

• Resolver discrepancias y problemas que puedan surgir en la gestión de la seguridad.

6.2. ROLES: FUNCIONES Y RESPONSABILIDADES

Las responsabilidades de la Alta Dirección son:

• Es responsable de fijar los objetivos estratégicos, organizar adecuadamente sus elementos constituyentes, sus relaciones internas y externas, y dirigir su actividad, incluyendo la aprobación de la Política de Seguridad de la Información, así como, en su caso, la Política de Protección de Datos, facilitando los recursos adecuados para alcanzar los objetivos propuestos, velando por su cumplimiento.

• Responsable del Tratamiento de Datos personales.

• Responsable de la información; Tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección. El Responsable de la Información es el responsable último de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad (en materia de protección de datos) y de disponibilidad (en materia de seguridad de la información).

• Responsable del servicio: Tiene la potestad de determinar los niveles de seguridad de los servicios, pudiendo ser una persona física concreta o un órgano colegiado.

Las responsabilidades del Comité de Seguridad TIC son:

• Coordinar y aprobar las acciones en materia de seguridad de la información.

• Impulsar la cultura en seguridad de la información.

• Participar en la categorización de los sistemas y el análisis de riesgos.

• Revisar la documentación relacionada con la seguridad del sistema.

• Resolver discrepancias y problemas que puedan surgir en la gestión de la seguridad.

Las responsabilidades del Responsable de Seguridad de la Información son:

• Mantener el nivel adecuado de seguridad de la información manejada y de los servicios prestados por los sistemas.

• Realizar o promover las auditorías periódicas a las que obliga el ENS para verificar el cumplimiento de los requisitos del mismo.

• Gestionar la formación y concienciación en materia de seguridad TIC.

• Comprobar que las medidas de seguridad existente son las adecuadas para las necesidades de la entidad.

• Revisar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.

• Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.

• Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución, emitiendo informes periódicos sobre los más relevantes al Comité.

Las responsabilidades del Responsable del Sistema son:

• Gestionar el Sistema durante todo su ciclo de vida, desde la especificación, instalación hasta el seguimiento de su funcionamiento.

• Definir los criterios de uso y los servicios disponibles en el Sistema.

• Definir las políticas de acceso de usuarios al Sistema.

• Aprobar los cambios que afecten a la seguridad del modo de operación del Sistema.

• Determinar la configuración autorizada de hardware y software a utilizar en el Sistema y aprobar las modificaciones importantes de dicha configuración.

• Realizar el análisis y gestión de riesgos en el Sistema.

• Elaborar y aprobar la documentación de seguridad del Sistema.

• Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS.

• Implantar y controlar las medidas específicas de seguridad del Sistema.

• Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos.

• Suspensión el manejo de cierta información o la prestación de un cierto servicio si detecta deficiencias graves

Las responsabilidades del Administrador de Seguridad son:

• Implantación, gestión y mantenimiento de las medidas de seguridad.

• Gestión, configuración y actualización, en su caso, del hardware y software de seguridad, así como su supervisión.

• Gestión de las autorizaciones y privilegios concedidos a los usuarios del sistema.

• Aplicación de los Procedimientos de seguridad y verificación de su cumplimiento.

• Aprobar los cambios en la configuración de seguridad.

• Asegurar que los controles de seguridad se cumplen.

• Monitorizar el estado de seguridad del sistema.

• Informar al RSEG y RSIS de cualquier anomalía.

• Colaborar en la investigación y resolución de incidentes de seguridad.

• Llevar a cabo el registro, contabilidad y gestión de los incidentes de seguridad.

• Aislar el incidente para evitar la propagación.

• Tomar decisiones a corto plazo si la información se ha visto comprometida de tal forma que pudiera tener consecuencias graves.

• Asegurar la integridad de los elementos críticos del Sistema si se ha visto afectada la disponibilidad de los mismos.

• Mantener y recuperar la información almacenada por el Sistema y sus servicios asociados.

• Investigar el incidente: Determinar el modo, los medios, los motivos y el origen del incidente.

Las responsabilidades del Responsable de Medidas de Seguridad especificas RRHH son:

• Comunicar el alta y baja de usuarios, a través del procedimiento descrito.

Las responsabilidades de los Usuarios son:

• Aplicar las Medidas de Seguridad Descritas en las normativas.

6.3. PROCEDIMIENTOS DE DESIGNACIÓN

El Responsable de Seguridad de la Información será nombrado por la Dirección de la Entidad, a propuesta del Comité de Seguridad TIC. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante. El Departamento responsable de un servicio que se preste electrónicamente de acuerdo a la Ley 11/2007 designará al Responsable del Sistema, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política. Esta designación deberá ser aprobada por la dirección de la Entidad.

6.4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Será misión del Comité de Seguridad TIC la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la dirección de la Entidad y difundida para que la conozcan todas las partes afectadas.

 

7. DATOS DE CARÁCTER PERSONAL

La Entidad trata datos de carácter personal. El “Manual de Protección de Datos Personales”, al que tendrán acceso sólo las personas autorizadas, recoge los tratamientos afectados y los responsables correspondientes. Todos los sistemas de información de la Entidad se ajustarán a las medidas de seguridad requeridos por su análisis de riesgos y por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado manual y el la documentación de dicho sistema. 

 

8. GESTIÓN DE RIESGOS

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

• Regularmente, al menos una vez al año cuando cambie la información manejada.

• Cuando cambien los servicios prestados.

• Cuando ocurra un incidente grave de seguridad.

• Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

 

9. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Esta Política de Seguridad de la Información complementa las políticas de seguridad de la Entidad en diferentes materias:

• Políticas en materia de seguridad de Protección de Datos de Carácter Personal, disponible en el documento “Política de Privacidad Ley de Protección de Datos”.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones. La normativa de seguridad estará disponible en la intranet: https://helpdesk.iacpos.com

 

10. OBLIGACIONES DEL PERSONAL

Todos los miembros de la entidad tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de la entidad atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de la entidad, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

 

11. TERCERAS PARTES

Cuando la Entidad preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando la Entidad utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.