POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
SECOND WINDOW 2010, S.L.
Realizado por: | Revisado y Aprobado por: |
Andrea Beltrán Responsable de Seguridad
|
Jorge Alonso Responsable de la Información |
1. Objeto
El objeto del presente documento es la definición la Política de Seguridad de la Información de Second Window 2010, S.L., dentro del alcance señalado en el Esquema Nacional de Seguridad, la Ley Orgánica de Protección de Datos, el Reglamento Europeo de Protección de datos y la norma UNE ISO/IEC ISO 27001.
Se ha implantado la presente Política atendiendo al nivel de seguridad de la información y los servicios prestados, y la categoría de los sistemas de Second Window 2010, S.L. que resulten de la aplicación de las previsiones contempladas en los Anexos I y II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica (ENS) y en el Anexo A de la norma UNE ISO/IEC 27001.
2. Misión
La Dirección de Second Window 2010, S.L., para la gestión de sus intereses y de las funciones y competencias que tiene encomendadas, promueve actividades y presta servicios que contribuyen a satisfacer las necesidades y expectativas de todos los grupos de interés.
Para ello, pone a disposición de los mismos la realización de trámites online con el objetivo de impulsar nuevas vías de participación que garanticen la eficacia en la prestación de los servicios.
Se desea potenciar por otro lado el uso de las nuevas tecnologías en la propia organización y entre todas las partes interesadas.
Los principales objetivos que se persiguen son, entre otros, los siguientes:
- Fomentar el uso de los medios electrónicos en las comunicaciones de las partes interesadas con la organización.
- Crear la confianza necesaria entre las partes interesadas en esta relación.
3. Ámbito de aplicación
Esta Política es de aplicación a todo el ámbito de actuación de Second Window 2010, S.L., y su contenido incluye las directrices de carácter más general definidas en el ordenamiento jurídico vigente, en la Política de Seguridad de la Información y en las Normas de Seguridad de Second Window 2010, S.L.
La presente Política es de aplicación y de obligado cumplimiento para todo el personal que, de manera permanente o eventual, preste sus servicios en Seguridad de la Información de Second Window 2010, S.L., especialmente, los responsables de los servicios de explotación de los Sistemas de Información y los propios usuarios, como actores ambos, incluyendo, en su caso, el personal de proveedores externos, cuando proceda y sean usuarios de los Sistemas de InformaciónSeguridad de la Información de Second Window 2010, S.L..
En el ámbito de la presente Política, se entiende por usuario cualquier empleado perteneciente o ajeno a la organización, así como personal de organizaciones privadas externas, entidades colaboradoras o cualquier otro con algún tipo de vinculación con la organización y que utilice o posea acceso a sus Sistemas de Información.
Los servicios de negocio incluidos en el alcance del presente documento son los siguientes:
- Consultoría Tecnológica
- Outsourcing Tecnológico
- Desarrollo y mantenimiento de Software
4. Marco normativo
Las referencias tenidas en cuenta para la redacción de este documento han sido:
- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.
- Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
- Norma UNE ISO/IEC 27001 “Sistemas de Gestión de Seguridad de la Información”.
- Documentos y Guías CCN-STIC.
- Documentos y Guías Incibe.
5. Definiciones
- Análisis de riesgos
Proceso para comprender la naturaleza del riesgo y para determinar el nivel de riesgo. El análisis de riesgos proporciona la base para la evaluación de riesgos y las decisiones sobre el tratamiento de riesgos. El análisis de riesgos incluye la estimación de riesgos.
- Datos de carácter personal
Cualquier información concerniente a personas físicas identificadas o identificables.
- Documento
Datos que poseen significado y su medio de soporte.
- Gestión de incidentes
Conjunto de procesos para detectar, informar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información.
- Gestión de riesgos
Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
- Incidente de seguridad
Un evento o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.
- Indicador
Medida que proporciona una estimación o evaluación.
- Información documentada
Se refiere a la información necesaria que una organización debe controlar y mantener actualizada tomando en cuenta y el soporte en que se encuentra. La información documentada puede estar en cualquier formato (audio, video, ficheros de texto etc.) así como en cualquier tipo de soporte o medio independientemente de la fuente de dicha información. En general la información documentada se refiere a:
- Al sistema de gestión y sus procesos
- Información necesaria para la actividad de la propia
- Evidencias o registros de los resultados obtenidos en cualquier proceso del sistema de gestión o de la organización
- Política de seguridad de la Información
Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que consideran críticos así como la forma en que gestiona la calidad del servicio TI.
- Principios básicos de seguridad
Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios.
- Procedimiento
Forma especificada, documentada o no, de llevar a cabo una actividad o un proceso.
- Proceso
Conjunto de actividades interrelacionadas o interactivas que transforman entradas en salidas
- Registro
Documento que presenta resultados obtenidos o proporciona evidencia de actividades desempeñadas.
- Responsable de la información
Persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
- Responsable de la seguridad
El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
- Responsable del servicio
Persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.
- Responsable del sistema
Persona que se encarga de la explotación del sistema de información.
- Riesgo
Combinación de la probabilidad de un suceso y de su consecuencia.
- Servicio
Función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses o satisfacer necesidades de los ciudadanos.
- Sistema de información
Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
6. Principios y directrices
Los principios y directrices que deben contemplarse a la hora de garantizar la seguridad de la información son la prevención, la detección, la respuesta y la recuperación, de manera que las amenazas existentes no se materialicen, o en caso de materializarse no afecten gravemente a la información que maneja, o los servicios que se prestan:
Prevención
La organización debe prevenir, y evitar, en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad.
Para ello, el Comité de Seguridad de la Información debe ineludiblemente implementar las medidas mínimas de seguridad determinadas por el Esquema Nacional de Seguridad (en adelante ENS) regulado mediante Real Decreto 3/2010, de 8 de enero, las medidas del Anexo A de la norma UNE ISO/IEC 27001 así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.
Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la Política de Seguridad de la Información, el Comité de Seguridad de la Información debe:
- Autorizar los sistemas o los servicios antes de entrar en operación.
- Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- Solicitar la revisión periódica del cumplimiento del Sistema de Gestión de Seguridad de la Información (en adelante, SGSI) por parte de terceros.
Detección
Dado que los sistemas y servicios pueden degradarse rápidamente debido a incidentes, que pueden ir desde una simple desaceleración hasta su detención, el Comité de Seguridad de la Información, con la ayuda de los proveedores tecnológicos, deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.
En el supuesto de que la degradación sea atribuida a incidentes de seguridad, estos órganos directivos responsables (jefaturas de áreas y servicios) deberán establecer mecanismos de reporte que lleguen al responsable de seguridad.
Respuesta
El Comité de Seguridad de la Información (jefaturas de áreas y servicios) debe establecer mecanismos para responder eficazmente a los incidentes de seguridad.
Recuperación
Para garantizar la disponibilidad de los servicios críticos, el Comité de Seguridad de la Información, con la ayuda de los proveedores tecnológicos, (jefaturas de áreas y servicios) debe desarrollar planes de continuidad del servicio y actividades de recuperación frente a desastres.
Privacidad desde el diseño
Este término establece 7 principios básicos que deben orientar el diseño y desarrollo de sistemas y tecnologías que traten datos de carácter personal. Son los siguientes:
- Proactivo, no Reactivo; Preventivo no Correctivo: El enfoque de Privacidad por Diseño (PbD por sus siglas en inglés) está caracterizado por medidas proactivas, en vez de reactivas. Anticipa y previene eventos de invasión de privacidad antes de que estos ocurran. No espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron, su finalidad es prevenir que ocurran.
- Privacidad como la Configuración Predeterminada: La Privacidad por Diseño busca entregar el máximo grado de privacidad asegurándose de que los datos personales estén protegidos automáticamente en cualquier sistema de información dado o en cualquier práctica de negocios.
Si una persona no toma una acción, aun así, la privacidad se mantiene intacta. No se requiere acción alguna de parte de la persona para proteger la privacidad, está integrada en el sistema, como una configuración predeterminada.
- Privacidad Incrustada en el Diseño: La Privacidad por Diseño está incrustada en el diseño y la arquitectura de los sistemas de Tecnologías de Información y en las prácticas de negocios. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que está siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad.
- Funcionalidad Total: Privacidad por Diseño busca acomodar todos los intereses y objetivos legítimos para todas las partes interesadas. Privacidad por Diseño evita las falsas dualidades, tales como privacidad frente a seguridad, demostrando que sí es posible tener ambas al mismo tiempo.
- Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo: Habiendo sido incrustada en el sistema antes de que el primer elemento de información haya sido recolectado, la Privacidad por Diseño se extiende con seguridad a través del ciclo de vida completo de los datos involucrados. Las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin.
Esto garantiza que todos los datos son retenidos con seguridad, y luego destruidos con seguridad al final del proceso, sin demoras. Por lo tanto, la Privacidad por Diseño garantiza una administración segura del ciclo de vida de la información, desde un extremo hacia el otro.
- Visibilidad y Transparencia: Privacidad por Diseño busca asegurar a todos los involucrados que cualquiera que sea la práctica de negocios o tecnología involucrada, está en realidad esté operando de acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Sus partes componentes y operaciones permanecen visibles y transparentes, a usuarios y a proveedores.
- Respeto por la Privacidad de los Usuarios: Por encima de todo, la Privacidad por Diseño requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario. Hay que mantener al usuario en el centro de las prioridades.
7. ESTRUCTURA DOCUMENTAL
Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso se describen en el procedimiento P01 “Control de la documentación y de los registros”.
Cuando se produzca un cambio significativo en la estructura o en la operativa de Second Window 2010, S.L. que afecte a esta Política, deberá producirse una modificación y actualización del mismo.
Las modificaciones serán incluidas en una nueva versión del documento, así como en el apartado de control de cambios, como evidencia del proceso de actualización realizado y para mantener la trazabilidad entre distintas versiones.
Normalmente será el Responsable de Seguridad de la Información, la persona encargada de la custodia y divulgación de la versión aprobada de este documento.
8. Datos de carácter personal
Second Window 2010, S.L. solo recogerá datos de carácter personal cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido.
De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa vigente de Protección de Datos.
9. Obligaciones del personal
Todos los miembros de Second Window 2010, S.L., que se encuentran dentro del ámbito de aplicación del SGSI deben ser objeto de sesiones de formación y concienciación en materia de seguridad, en función de la periodicidad que el Comité de Seguridad de la Información establezca como necesario y razonable en base a las necesidades detectadas, y siendo en todo caso un programa de concienciación continua que aspira a atender a todos los miembros de Second Window 2010, S.L., organismos autónomos y sociedades públicas incluidas en su perímetro, y en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas de información recibirán formación para el uso seguro de los sistemas en la medida en que lo necesiten para realizar su trabajo.
La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación como si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
10. Terceras partes
Cuando nuestra organización preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad de la Información. Se establecerán canales para el reporte y la coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando se utilicen servicios de terceros o se ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información.
Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Se establecerán procedimientos específicos de reporte y resolución de incidencias.
Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad.
Cuando algún aspecto de esta Política de Seguridad no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos.
Será preceptivo la aprobación de este documento por el Responsable de la Información.
11. Roles y Responsabilidades
Los Roles y Responsabilidades fundamentales en la Seguridad de la Información de Second Window 2010, S.L. se han descrito en los documentos D-02 “Roles y Responsabilidades”, D-03 “Matriz RACI” y en los diferentes procedimientos del SGSI.
12. Gestión de seguridad de la información
La Dirección de Second Window 2010, S.L., consciente de la importancia y exigencia que supone la correcta gestión de la seguridad de la información en la prestación de los servicios, ha decidido adscribirse voluntariamente al cumplimiento del Esquema Nacional de Seguridad y de la norma UNE EN ISO 27001 “Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos”.
Para ello, se ha comprometido a la implantación, mantenimiento y mejora continua de un SGSI, siendo el alcance del mismo el siguiente:
- Outsourcing tecnológico.
- Consultoría Tecnológica.
- Desarrollo y mantenimiento de Software
Asimismo, ha establecido un marco de estrategias de Gestión de los Servicios alineadas con el negocio, con la finalidad de mejorar continuamente el servicio prestado a los clientes y garantizando la disponibilidad del mismo, consiguiendo de esta manera incrementar su grado de satisfacción.
El objetivo es marcar las pautas de alto nivel necesarias para conseguir la máxima calidad en la prestación de los servicio, así como la máxima seguridad en la información, consiguiendo que todos los tratamientos de información relativos a los procesos de negocio incluidos en el alcance se realicen de forma segura y únicamente por personal autorizado, protegiendo la información ante incidentes que afecten a la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los activos del negocio.
Las directrices generales de actuación son las siguientes:
- Aseguramiento de la protección de la seguridad de la información en la prestación de los servicios mediante la implantación y mantenimiento de un SGSI en todas las áreas de negocio.
- Compromiso de cumplimiento de todos los requisitos legales y reglamentarios aplicables, requisitos de negocio, así como obligaciones contractuales.
- Compromiso de mejora contínua del sistema de gestión y de la eficacia y eficiencia de los procesos internos de prestación de los servicios y seguridad de la información.
- Compromiso de satisfacción de las partes interesadas, prestando servicios alineados con las necesidades de clientes, usuarios y todos los grupos de interés.
- Cumplimiento de políticas de seguridad, de gestión de la configuración, de gestión de cambios y de gestión de incidentes y problemas.
- Definir una política apropiada para el propósito de todas las partes interesadas.
- Prestar servicios innovadores, eficientes y de mínimo riesgo, que faciliten la actividad de los clientes.
- Destinar los recursos necesarios para desarrollar los servicios con los niveles de seguridad de la información exigidos por nuestros clientes, manteniendo un adecuado equilibrio entre coste y beneficio.
- Asegurar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información tratada.
- Reconocer la importancia de identificar y proteger los activos de información, evitando la destrucción, la divulgación, modificación y utilización no autorizada de toda información relacionada con clientes, empleados y otras partes interesadas.
- Evitar que la información o los servicios se vean perjudicados por incidentes de seguridad.
- Analizar la vulnerabilidad de la información y preparar una respuesta efectiva a los incidentes en seguridad de la información para garantizar la continuidad de los servicios prestados.
- Incluir los requisitos de seguridad de la información pertinentes en las ofertas y contratos correspondientes.
- Formar y concienciar a todo el personal en seguridad de la información.
- Disponer de un conjunto de controles de aseguramiento y refuerzo de la seguridad.
- Gestionar adecuadamente todas las incidencias que puedan ocurrir.
Todos los empleados de la organización son informados de sus roles y responsabilidades en materia de seguridad de la información al incorporarse en su puesto de trabajo y son responsables de cumplirlas.
La Dirección se compromete a velar por el cumplimiento de los requisitos establecidos en el presente documento.