Política de Seguridad
Indice
- Introducción
- Definiciones
- Propósito
- Alcance
- Objetivos y Fundamentos de esta Política
- Requisitos Legales
- Clasificación de la Información
- Roles, Responsabilidades y Deberes
- Evaluación de Riesgos de seguridad
- Proyectos
- Contratación y adquisiciones
- Concienciación, Divulgación y formación
- Respuesta a incidentes de seguridad
- Revisión y Auditorías
1. INTRODUCCIÓN
Este documento expone la Política de Seguridad de la Información de Open Data Security, como el conjunto de principios básicos y líneas de actuación a los que la organización se compromete, en el marco de las normas ISO 27001 y Esquema Nacional de Seguridad.
La información es un activo crítico, esencial y de un gran valor para el desarrollo de la actividad de la empresa. Este activo debe ser adecuadamente protegido, mediante las medidas de seguridad necesarias, frente a las amenazas que puedan afectarle, independientemente de los formatos, soportes, medios de transmisión, sistemas o personas que intervengan en su conocimiento, procesado o tratamiento.
La seguridad de la información es la protección de este activo, con la finalidad de asegurar la continuidad del negocio, minimizar el riesgo y permitir maximizar el retorno de las inversiones y las oportunidades de negocio. Es un proceso que requiere medios técnicos y humanos y una adecuada gestión y definición de los procedimientos. Es fundamental la máxima colaboración e implicación de todo el personal de la empresa.
La dirección de Open Data Security, consciente del valor de la información, está profundamente comprometida con la política descrita en este documento.
2. DEFINICIONES
- Disponibilidad: Es necesario garantizar que los recursos del sistema se encuentren disponibles cuando se necesiten, especialmente la información crítica.
- Integridad: La información del sistema ha de estar disponible tal y como se almacenó, por un agente autorizado.
- Confidencialidad: La información sólo ha de estar disponible para agentes autorizados, especialmente su propietario.
- Trazabilidad: De cierta información puede necesitarse conocer quién la ha modificado o accedido.
- Autenticidad: Debe poder verificarse el origen correcto de la información.
3. PROPÓSITO
El propósito de esta Política de la Seguridad de la Información es proteger los activos de información de la empresa, asegurando para ello la disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad de la información y de las instalaciones, sistemas y recursos que la procesan, gestionan, transmiten y almacenan, siempre de acuerdo con los requerimientos del negocio y la legislación vigente.
4. ALCANCE
El alcance del Sistema de Gestión de Seguridad de la Información engloba los sistemas de información que soportan los servicios de auditoría, consultoría, formación, perito forense, SOC, desarrollo de software y de productos (apliance) de Open Data Security.
La presente Política de Seguridad de la Información es de aplicación a todas las personas, sistemas y medios que accedan, traten, almacenen, transmitan o utilicen la información conocida, gestionada o propiedad de Open Data Security para los procesos descritos.
Elpersonal sujeto a esta política incluye a todas las personas con acceso a la información descrita, independientemente del soporte automatizado o no en el que se encuentre esta y de si el individuo es empleado o no de la empresa. Por lo tanto, también se aplica a los contratistas, clientes o cualquier otra tercera parte que tenga acceso a la información o los sistemas de Open Data Security.
Para garantizar que el proceso de seguridad implantado será actualizado y mejorado de forma continua, se implanta y documenta un Sistema de Gestión de la Seguridad de la Información. De esta forma el contenido de la Política de Seguridad de la Información está desarrollado en normas y procedimientos complementarios de seguridad.
5. OBJETIVOS Y FUNDAMENTOS DE ESTA POLÍTICA
La información debe ser protegida durante todo su ciclo de vida, desde su creación o recepción, durante su procesamiento, comunicación, transporte, almacenamiento, difusión y hasta su eventual borrado o destrucción. Por ello, se establecen los siguientes principios mínimos:
- Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.
- Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.
- Principio de disponibilidad y continuidad: se garantizará un nivel de disponibilidad en los sistemas de información y se dotarán los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.
- Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información.
- Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos, sin perjuicio de que se asegurará que los recursos necesarios para el sistema de gestión de seguridad de la información estén disponibles.
- Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad TIC de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.
- Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.
- Principio de detección y respuesta: los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia respondiendo eficazmente, a través de los mecanismos establecidos al efecto, a los incidentes de seguridad.
- Principio de mejora continua: se revisará el grado de cumplimiento de los objetivos de mejora de la seguridad planificados anualmente y el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública.
- Principio de seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
- Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.
- La Política de Seguridad de la Información es aprobada por la Dirección de la empresa y su contenido y el de las normas y procedimientos que la desarrollan es de obligado cumplimiento.
- Todos los usuarios con acceso a la información tratada, gestionada o propiedad de la empresa tienen la obligación y el deber de custodiarla y protegerla.
- La Política y las Normas de Seguridad de la Información se adaptarán a la evolución de los sistemas y de la tecnología y a los cambios organizativos y se alinearán con la legislación vigente y con los estándares y mejores prácticas de las normas ISO/IEC 27001:2014 y Esquema Nacional de Seguridad.
- Las medidas de seguridad y los controles físicos, administrativos y técnicos aplicables se detallarán en el Documento de Aplicabilidad y la empresa deberá establecer una planificación para su implantación y gestión.
- Las medidas de seguridad y los controles establecidos serán proporcionales a la criticidad de la información a proteger y a su clasificación.
- Los usuarios que incumplan la Política de Seguridad de la Información o las normas y procedimientos complementarios podrán ser sancionados de acuerdo con lo establecido en los contratos que amparen su relación con la empresa y con la legislación vigente y aplicable.
6. REQUISITOS LEGALES
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
- Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
- Ley 34/2002 de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad.
- Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad.
7. CLASIFICACIÓN DE LA INFORMACIÓN
La información se clasificará de acuerdo a la sensibilidad requerida en su tratamiento y a los niveles de seguridad y protección exigibles.
8. ROLES, RESPONSABILIDADES Y DEBERES
La dirección asigna y comunica las responsabilidades, autoridades y roles en lo referente a la seguridad de la información. También se asegurará de que los usuarios conocen, asumen y ejercen las responsabilidades, autoridades y roles asignados.
8.1. USUARIOS
Toda persona o sistema que acceda a la información tratada, gestionada o propiedad de la empresa se considerará un usuario. Los usuarios son responsables de su conducta cuando acceden a la información o utilicen los sistemas informáticos de la empresa. El usuario es responsablede todas las acciones realizadas utilizando sus identificadores o credenciales personales.
Los usuarios tienen la obligación de:
- Cumplir la Política de Seguridad de la Información y las normas, procedimientos e instrucciones complementarias.
- Proteger y custodiar la información de la empresa, evitando la revelación, emisión al exterior, modificación, borrado o destrucción accidental o no autorizadas o el mal uso independientemente del soporte o medios por el que haya sido accedida o conocida.
- Conocer y aplicar la Política de Seguridad de la Información, las Normas de Uso de los Sistemas de Información y el resto de políticas, normas, procedimientos y medidas de seguridad aplicables.
8.2. DIRECCIÓN
La dirección de la empresa está profundamente comprometida con la política descrita en este documento y es consciente del valor de la información y del grave impacto económico y de imagen que puede producir un incidente de seguridad.
La dirección asume las siguientes responsabilidades:
- Demostrar liderazgo y compromiso con respecto al sistema de gestión de seguridad de la información.
- Asegurar que se establecen la política y los objetivos de seguridad de la información y que estos son compatibles con la dirección estratégica de la organización.
- Aprobar y comunicar la Política de Seguridad de la Información, las Normas de Uso de los Sistemas de Información y la importancia de su cumplimiento a todos los usuarios, internos o externos, a los clientes y a los proveedores.
- Fomentar una cultura corporativa de seguridad de la información.
- Apoyar la mejora continua de los procesos de seguridad de la información.
- Asegurar que están disponibles los recursos necesarios para el cumplimiento de la política de seguridad de la información, de las normas de uso de los sistemas y para el funcionamiento del sistema de gestión de seguridad de la información.
- Definirelenfoque para elanálisis y lagestión de los riesgos de seguridad de lainformación y los criterios para asumir los riesgos y asegurar la evaluación de los mismos al menos con una periodicidad anual.
- Asegurar que se realizan auditorías internas de seguridad de la información y que se revisan sus resultados para identificar oportunidades de mejora.
- Definir y controlar el presupuesto para seguridad de la información.
- Aprobar los planes de formación y las mejoras y proyectos relacionados con la Seguridad de la Información.
- Determinar las medidas, sean disciplinarias o de cualquier otro tipo, que pudieran aplicarse a los responsables de violaciones de seguridad.
8.3. RESPONSABLE DE SEGURIDAD
La persona con el cargo de Responsable de Seguridad Informática en el organigrama de la empresa asumirá las siguientes funciones, en colaboración con el Responsable de Sistemas:
- Definir las políticas, normas y procedimientos de seguridad de la información e implantarlas tras la aprobación de la Dirección.
- Controlar el cumplimiento de las políticas, normas y procedimientos de seguridad de la información.
- Gestionar y verificar los incidentes de seguridad y proponer medidas correctoras.
- Junto al responsable de Sistemas, analizar y gestionar los riesgos relacionados con la seguridad de la información, determinar las vulnerabilidades y establecer las medidas de salvaguarda que garanticen la confidencialidad, integridad y disponibilidad de la información de acuerdo a un riesgo residual asumido por la organización.
- Proponer medidas y proyectos de mejora relacionados con la Seguridad de la Información a la Dirección para su aprobación.
- Elaboración y mantenimiento de los planes de contingencia y/o continuidad.
- Gestionar y supervisar el cumplimiento de la legislación vigente en materia de seguridad de la información incluyendo protección de datos, propiedad intelectual y sociedad de la información.
- Promover planes de formación, divulgación y concienciación en materia de seguridad de la información en la organización.
- Respecto a laprotección de datos personales, asumirá elrolde Responsablede Seguridad LOPD.
8.4. RESPONSABLE DE SISTEMAS
- Desarrollar, operar y mantener el sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
- Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
- Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
- Realizar ejercicios y pruebas sobre los procedimientos operativos de seguridad y los planes de continuidad existentes.
- Seguimiento del ciclo de vida de los sistemas y la red: especificación, arquitectura, desarrollo, operación, cambios.
- Implantar las medidas necesarias para garantizar la seguridad del sistema y la red durante todo su ciclo de vida, de acuerdo con el Responsable de Seguridad.
- Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema o la red.
- Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad, previo acuerdo con el Responsable de dicha información o servicio y con el Responsable de Seguridad.
- Realizar con la colaboración del Responsable de Seguridad, los preceptivos análisis de riesgos, de seleccionarlas salvaguardas a implantar y de revisar elproceso de gestión del riesgo. Asimismo, junto al Responsable de Seguridad, podrá aceptar los riesgos residuales calculados en el análisis de riesgos cuando el Responsable de la Información y el Responsable del Servicio hayan delegado en él esta tarea.
- Elaborar en colaboración con el Responsable de Seguridad, la documentación de seguridad de tercer nivel (Procedimientos Operativos e Instrucciones Técnicas).
9. EVALUACIÓN DE RIESGOS DE SEGURIDAD
Conocer los riesgos y elaborar una estrategia para gestionarlos adecuadamente es primordial para la empresa, ya que únicamente si se conoce el estado de seguridad podrán tomarse las decisiones adecuadas para mitigar los riesgos a los que se enfrenta.
Se utilizará la metodología Magerit para analizar los riesgos. Por ello, se realizará un análisis detallado de los riesgos que afecten a los activos recogidos en un inventario de activos, que quedará documentado en un documento de Análisis de Riesgos.
La entidad debe determinar los niveles de riesgo a partir de los cuales tomará acciones de tratamiento sobre los mismos. Un riesgo se considera aceptable cuando implementar más controles de seguridad se estima que consumiría más recursos que el posible impacto asociado.
Una vez llevado a cabo el proceso de evaluación de riesgos, la dirección de la empresa será responsable de aprobar los riesgos residuales y los planes de tratamiento de riesgo.
10. PROYECTOS
Todos los proyectos relacionados o que afecten a los sistemas de información deberán incluir, en su proceso de análisis, una evaluación de los requisitos de seguridad y definir un modelo de seguridad consensuado con el responsable de seguridad de la información.
En el diseño, desarrollo, instalación y gestión de los sistemas de información y en los proyectos se tendrán en cuenta y aplicarán los conceptos de seguridad desde el diseño, codificación segura y los controles y medidas de seguridad que proceda según el documento de aplicabilidad aprobado por la empresa.
11. CONTRATACIÓN Y ADQUISICIONES
Todas las contrataciones y adquisiciones que supongan o requieran acceso o tratamiento de información clasificada como no pública, deberán realizarse amparadas por un contrato que incluya cláusulas destinadas a garantizar la salvaguarda de la confidencialidad, integridad y disponibilidad (y autenticidad y trazabilidad cuando sea aplicable) de la información.
En aquellos casos en los que los servicios contratados supongan acceso o tratamiento por el proveedor de datos de carácter personal se deberá incluir en el contrato el clausulado requerido para el cumplimiento del Reglamento Europeo de Protección de Datos y de la Ley Orgánica de Protección de Datos de Carácter Personal y sus desarrollos.
Las empresas y personas que con motivo de contrataciones de servicios o adquisiciones de cualquier tipo accedan a información confidencial o de uso interno, deberán conocer la Política de Seguridad de la Información y las normas y procedimientos complementarios que sean de aplicación para el objeto de la contratación.
Las empresas y personas externas que accedan a la información de la empresa deberán considerar dicha información, por defecto, como confidencial. La única información que podrán considerarcomo no confidencial es aquella que se haya obtenido a través de los medios de difusión pública.
12. CONCIENCIACIÓN, DIVULGACIÓN Y FORMACIÓN
La presente Política de Seguridad de la Información debe ser conocida por todos los usuarios internos y externos y por las empresas que accedan, gestionen o traten datos de la empresa.
El conjunto de Políticas, normas y procedimientos complementarios a esta Política de Seguridad de la Información deberán ser adecuadamente comunicados y puestos en conocimiento de las personas, empresas e instituciones afectadas o implicadas en cada caso.
Se definen periódicamente programas de comunicación, concienciación y formación y se entregará copia de la normativa correspondiente a los nuevos usuarios.
13. RESPUESTA A INCIDENTES DE SEGURIDAD
Cualquier compromiso de la confidencialidad, integridad, disponibilidad, trazabilidad o autenticidad de la información de la empresa se considera un incidente de seguridad. Esto incluye, entre otros, el acceso, la eliminación, la destrucción, la modificación o la interrupción de la disponibilidad no autorizadas. También se consideran incidentes de seguridad los meros intentos de compromiso de las condiciones anteriores, los de evitar, alterar o modificar las medidas de seguridad o las violaciones o incumplimientos de la Política de Seguridad de la Información o de las normas y procedimientos complementarios.
Los usuarios son responsables de informar, de forma inmediata, de cualquier incidente de seguridad, a través de los canales y procedimientos definidos en la organización para la comunicación de incidencias.
14. REVISIÓN Y AUDITORÍAS
El responsable de seguridad revisará esta política anualmente o cuando haya cambios significativos que así lo aconsejen, y la someterá de nuevo a aprobación por la dirección.
Las revisiones comprobarán la efectividad de la política, valorando los efectos de los cambios tecnológicos y de negocio.
La dirección será responsable de aprobar las modificaciones necesarias en el texto cuando se produzca un cambio que afecte a las situaciones de riesgo establecidas en el presente documento.
El sistema de gestión de seguridad se auditará completamente cada año, según un plan de auditorías desarrollado por el responsable de seguridad.