Seleccione idioma
Política de seguridad de la información
1. Aprobación y entrada en vigor
Texto aprobado el día 07 de julio de 2023 por Salvador Marín Mellado. Esta Política de Seguridad de la Información es efectiva desde esa fecha y hasta que sea reemplazada por una nueva Política.
2. Introducción
Gecor System S.L.U. depende de los sistemas TIC (Tecnologías de la Información y Comunicación) para conseguir sus objetivos.
Estos sistemas deben ser administrados con diligencia y técnicas procedimentales, tomando las medidas adecuadas para protegerlos contra daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continua de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando rápida y eficazmente a los incidentes. Los sistemas TIC deben estar protegidos contra amenazas de evolución rápida con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios.
Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la continua prestación de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los distintos departamentos deben asegurarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de condiciones de licitación para proyectos de TIC.
2.1. Prevención
Los departamentos deben evitar, o al menos prevenir en lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.
Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, los departamentos deben:
Autorizar los sistemas antes de entrar en operación (según IT06 de Aceptación y Puesta en Servicio).
Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria (según PO10 de Gestión de Cambios y realización de análisis de riesgos siguiendo el PG09 de Gestión del Riesgo).
Solicitar la revisión periódica por parte de terceros para obtener una evaluación independiente (certificación del cumplimiento del ENS mediante empresa externa que solicita revisiones anuales del sistema).
2.2. Detección
Dado que los servicios se pueden degradar rápidamente por incidentes, que van desde una simple desaceleración hasta su detención, éstos deben monitorizar la operación de forma continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el artículo 9 del ENS.
Se establecerán mecanismos de detección, análisis y reporte que sean analizados por los responsables regularmente y especialmente cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.
2.3. Respuesta
Los departamentos deben establecer mecanismos para responder eficazmente a los incidentes de seguridad.
2.4. Recuperación
Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.
3. Alcance
Esta política se aplica a todos los sistemas TIC de y a todos los miembros de la organización, sin excepciones.
4. Misión
Gecor System trabaja para ofrecer un servicio seguro y de calidad a la ciudadanía, poniéndola en contacto con las administraciones públicas, para mejorar juntos la calidad de vida en las ciudades.
5. Marco informativo
RD 311/2022 de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales
Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.
El procedimiento de identificación de la normativa aplicable se llama PG 05 Requisitos Legales.
El resto de leyes, reglamentos y otras normativas, nacionales o internacionales, en las que la actividad de Gecor System S.L.U. está sujeta se encuentran en el registro “PG 05.01 Listado de Legislación”.
6. Organización de la seguridad
6.1. Comités: funciones y responsabilidades
El Comité de Seguridad TIC estará formado por:
- Resp. De Calidad, Medio Ambiente y Seguridad.
- Director de Tecnología, Responsable del Sistema
El Comité de Seguridad TIC tendrá las siguientes funciones:
- Redacción y aprobación de la documentación en materia de seguridad que forma parte del sistema.
- Aprobar cambios críticos en el sistema de gestión de la seguridad.
- Adquisición de nuevos componentes que afecten al sistema de gestión de la seguridad.
6.2. Roles: funciones y responsabilidades
El rol principal dentro del sistema de gestión de la seguridad de la información de Gecor System es el de Responsable de Seguridad de la Información, habitualmente referido en la documentación como Responsable de Seguridad. Las funciones de este Responsable de Seguridad son:
- Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
- Definir la topología y el sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
- Valorar y determinar la categoría de seguridad del Sistema de Información según lo descrito en el Esquema Nacional de Seguridad.
Asegurarse de que las medidas específicas de seguridad se integren adecuadamente en el marco general de seguridad.
El Responsable del Sistema puede acordar, junto con el Comité de Seguridad, la suspensión del manejo de cierta información o la prestación de cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.
6.3. Procedimientos de designación
El Responsable de Seguridad de la Información es nombrado por Dirección teniendo en cuenta las recomendaciones y capacidades de los miembros del departamento de tecnología. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.
6.4. Política de seguridad de la información
Será misión del Comité de Seguridad TIC la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada y posteriormente difundida para su conocimiento por todas las partes afectadas.
7. Sensibilización y formación
Se realizará una reunión de formación anual, que podrá integrarse o no dentro de la ya planificada en materia de calidad, en la que se recordarán los deberes y obligaciones de cada miembro de la organización en materia de seguridad siguiendo los requisitos marcados por el Esquema Nacional de Seguridad.
Asimismo, se realizarán comunicaciones anuales en las que se difundirán tanto la presente Política de Seguridad como la localización de la documentación pertinente dentro del servidor interno de archivos compartidos.
El objetivo es conseguir la plena conciencia respecto a que la seguridad de la información afecta a todos los miembros de Gecor System S.L.U. y en todas las actividades, de acuerdo con el principio de Seguridad Integral recogido en el Artículo 5 del ENS, así como la articulación de los medios necesarios para que todas las personas que intervienen en el proceso y sus responsables jerárquicos tengan una sensibilidad hacia los riesgos que se corren.
8. Gestión de Riesgos
El análisis de riesgos será la base para determinar las medidas de seguridad que deben adoptarse además de los mínimos establecidos por el Esquema Nacional de Seguridad, según lo previsto en el artículo 6 del ENS.
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá: regularmente (al menos una vez al año), cuando cambie la información gestionada, cuando cambien los servicios prestados, cuando se produzca un incidente grave de seguridad o cuando se reporten vulnerabilidades graves.
Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los distintos tipos de información gestionados y los distintos servicios prestados.
9. Desarrollo de la política de seguridad de la información
Esta Política de Seguridad de la Información complementa las normativas de seguridad en las distintas materias:
- MBPS-Manual de Buenas Prácticas de Seguridad en Uso de Móviles.
- NS01-Control de Acceso.
- NS02-Normativa de Gestión del Puesto de Trabajo.
- NS03-Normativa de Gestión de Copias de Seguridad.
- NS04-Limpieza de Metadatos.
- NS05-Normativa de Uso del Correo Electrónico.
- NS06-Normativa de Calificación de la Información.
- NS07-Normativa de Interconexión de Sistemas.
- NS08-Normativa de uso de la firma electrónica.
- NS09-Normativa de Navegación Segura.
La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para quienes utilicen, operen o administren los sistemas de información y comunicaciones. La normativa de seguridad estará disponible en la intranet de Gecor System S.L.U.
Esta normativa deberá revisarse y actualizarse con carácter periódico anual. Para una accesibilidad a toda la documentación interna, los integrantes de Gecor System S.L.U serán autorizados manualmente. Podrán acceder mediante el siguiente enlace a OneDrive donde se encuentra la misma: documentación interna.
Será siempre aprobada en última instancia por la Dirección de Gecor System S.L.U.
Aprobado por: Salvador Marin Mellado.