Política de seguretat

Seleccioneu idioma

CATALÀ
ESPANYOL
ANGLÈS

Política de seguretat de la informació

1. Aprovació i entrada en vigor

Text aprovat el dia 07 de juliol de 2023 per Salvador Marín Mellado. Aquesta Política de Seguretat de la Informació és efectiva des d’aquesta data i fins que sigui reemplaçada per una nova Política. 

2. Introducció

Gecor System S.L.U. depèn dels sistemes TIC (Tecnologies de la Informació i Comunicació) per assolir els seus objectius. 

Aquests sistemes han de ser administrats amb diligència i tècniques procedimentals, prenent les mesures adequades per protegir-los contra danys accidentals o deliberats que puguin afectar la disponibilitat, integritat o confidencialitat de la informació tractada o els serveis prestats. 

L’objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels serveis, actuant preventivament, supervisant l’activitat diària i reaccionant ràpidament i eficaçment als incidents. Els sistemes TIC han d’estar protegits contra amenaces d’evolució ràpida amb potencial per incidir en la confidencialitat, integritat, disponibilitat, ús previst i valor de la informació i els serveis. 

Per defensar-se d’aquestes amenaces, es requereix una estratègia que s’adapti als canvis en les condicions de l’entorn per garantir la prestació contínua dels serveis. Això implica que els departaments han d’aplicar les mesures mínimes de seguretat exigides per l’Esquema Nacional de Seguretat, així com fer un seguiment continu dels nivells de prestació de serveis, seguir i analitzar les vulnerabilitats reportades, i preparar una resposta efectiva als incidents per garantir la continuïtat dels serveis prestats. 

Els diferents departaments han d’assegurar-se que la seguretat TIC és una part integral de cada etapa del cicle de vida del sistema, des de la seva concepció fins a la seva retirada de servei, passant per les decisions de desenvolupament o adquisició i les activitats d’explotació. Els requisits de seguretat i les necessitats de finançament, han de ser identificats i inclosos en la planificació, en la sol·licitud d’ofertes, i en plecs de condicions de licitació per a projectes de TIC. 

2.1. Prevenció

Els departaments han d’evitar, o almenys prevenir en la mesura del possible, que la informació o els serveis es vegin perjudicats per incidents de seguretat. Per a això, els departaments han d’implementar les mesures mínimes de seguretat determinades per l’ENS, així com qualsevol control addicional identificat a través d’una avaluació d’amenaces i riscos. 

Aquests controls, i els rols i responsabilitats de seguretat de tot el personal, han d’estar clarament definits i documentats. Per garantir el compliment de la política, els departaments han de: 

  • Autoritzar els sistemes abans d’entrar en operació (segons la IT06 d’Acceptació i Posada en Servei). 
  • Avaluar regularment la seguretat, incloent-hi avaluacions dels canvis de configuració fets de forma rutinària (segons PO10 de Gestió de Canvis i realització d’anàlisis de riscos seguint el PG09 de Gestió del Risc). 
  • Sol·licitar la revisió periòdica per part de tercers per obtenir una avaluació independent (certificació del compliment de l’ENS mitjançant empresa externa que demana revisions anuals del sistema). 

2.2. Detecció

Atès que els serveis es poden degradar ràpidament per incidents, que van des d’una simple desacceleració fins a la seva detenció, aquests han de monitoritzar l’operació de manera contínua per detectar anomalies en els nivells de prestació dels serveis i actuar en conseqüència segons l’establert a l’Article 9 de l’ENS. 

S’establiran mecanismes de detecció, anàlisi i report que siguin analitzats pels responsables regularment i especialment quan es produeixi una desviació significativa dels paràmetres que s’hagin preestablert com a normals. 

2.3. Resposta

Els departaments han d’establir mecanismes per respondre eficaçment als incidents de seguretat. 

2.4. Recuperació

Per garantir la disponibilitat dels serveis crítics, els departaments han de desenvolupar plans de continuïtat dels sistemes TIC com a part del seu pla general de continuïtat de negoci i activitats de recuperació. 

3. Abast

Aquesta política s’aplica a tots els sistemes TIC de i a tots els membres de l’organització, sense excepcions. 

4. Missió

Gecor System treballa per oferir un servei segur i de qualitat a la ciutadania, posantla en contacte amb les administracions públiques, per tal de millorar junts la qualitat de vida a les ciutats. 

5. Marc informatiu

RD 311/2022 del 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat 

Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals 

Llei 9/2017, de 8 de novembre, de Contractes del Sector Públic, per la qual es transposen a l’ordenament jurídic espanyol les Directives del Parlament Europeu i del Consell 2014/23/UE i 2014/24/UE, de 26 de febrer de 2014. 

El procediment d’identificació de la normativa aplicable s’anomena PG 05 Requisits Legals. 

La resta de lleis, reglaments i altres normatives, nacionals o internacionals, a les quals l’activitat de Gecor System S.L.U. està subjecta es troben en el registre “PG 05.01 Llistat de Legislació”. 

6. Organització de la seguretat

6.1. Comitès: funcions i responsabilitats

El Comitè de Seguretat TIC estarà format per: 

  • Resp. De Qualitat, Medi Ambient i Seguretat. 
  • Director de Tecnologia, Responsable del Sistema 

El Comitè de Seguretat TIC tindrà les següents funcions: 

  • Redacció i aprovació de la documentació en matèria de seguretat que forma part del sistema. 
  • Aprovació de canvis crítics en el sistema de gestió de la seguretat. 
  • Adquisició de nous components que afectin el sistema de gestió de la seguretat. 

6.2. Rols: funcions i responsabilitats

El rol principal dins del sistema de gestió de la seguretat de la informació de Gecor System és el de Responsable de Seguretat de la Informació, habitualment referit en la documentació com a Responsable de Seguretat. Les funcions d’aquest Responsable de Seguretat són: 

  • Desenvolupar, operar i mantenir el Sistema d’Informació durant tot el seu cicle de vida, de les seves especificacions, instal·lació i verificació del seu correcte funcionament. 
  • Definir la topologia i sistema de gestió del Sistema d’Informació establint els criteris d’ús i els serveis disponibles en el mateix. 
  • Valorar i determinar la categoria de seguretat del Sistema d’Informació segons el que descriu l’Esquema Nacional de Seguretat. 
  • Assegurar-se que les mesures específiques de seguretat s’integrin adequadament dins el marc general de seguretat. 

El Responsable del Sistema pot acordar, juntament amb el Comitè de Seguretat, la suspensió del maneig d’una certa informació o la prestació d’un cert servei si és informat de deficiències greus de seguretat que poguessin afectar la satisfacció dels requisits establerts.

6.3. Procediments de designació

El Responsable de Seguretat de la Informació és nomenat per Direcció tenint en compte les recomanacions i les capacitats dels membres del departament de tecnologia. El nomenament es revisarà cada 2 anys o quan el lloc quedi vacant. 

6.4. Política de seguretat de la informació

Serà missió del Comitè de Seguretat TIC la revisió anual d’aquesta Política de Seguretat de la Informació i la proposta de revisió o manteniment de la mateixa. La Política serà aprovada i posteriorment difosa perquè la coneguin totes les parts afectades. 

7. Sensibilització i formació

Es realitzarà una reunió de formació anual, que podrà integrar-se o no dins la ja planificada en matèria de qualitat, en què es recordaran els deures i obligacions de cada membre de l’organització en matèria de seguretat seguint els requisits marcats per l’Esquema Nacional de Seguretat. 

Així mateix, es realitzaran comunicacions anuals en què es difondran tant la present Política de Seguretat com la localització de la documentació pertinent dins el servidor intern d’arxius compartits. 

L’objectiu és aconseguir la plena consciència respecte al fet que la seguretat de la informació afecta tots els membres de Gecor System S.L.U. i a totes les activitats, d’acord amb el principi de Seguretat Integral recollit a l’Article 5 de l’ENS, així com l’articulació dels mitjans necessaris perquè totes les persones que intervenen en el procés i els seus responsables jeràrquics tinguin una sensibilitat envers els riscos que es corren. 

8. Gestió de Riscos

L’anàlisi de riscos serà la base per determinar les mesures de seguretat que s’han d’adoptar a més dels mínims establerts per l’Esquema Nacional de Seguretat, segons el que preveu l’Article 6 de l’ENS. 

Tots els sistemes subjectes a aquesta Política hauran de fer una anàlisi de riscos, avaluant les amenaces i els riscos als quals estan exposats. Aquesta anàlisi es repetirà: regularment (almenys un cop a l’any), quan canviï la informació gestionada, quan canviïn els serveis prestats, quan es produeixi un incident greu de seguretat o quan es reportin vulnerabilitats greus. 

Per a l’harmonització de les anàlisis de riscos, el Comitè de Seguretat TIC establirà una valoració de referència per als diferents tipus d’informació gestionats i els diferents serveis prestats. 

9. Desenvolupament de la política de seguretat de la informació

Aquesta Política de Seguretat de la Informació complementa les normatives de seguretat en les diferents matèries: 

  • MBPS-Manual de Bones Pràctiques de Seguretat en Ús de Mòbils. 
  • NS01-Control d’Accés. 
  • NS02-Normativa de Gestió del Lloc de Treball. 
  • NS03-Normativa de Gestió de Còpies de Seguretat. 
  • NS04-Neteja de Metadades. 
  • NS05-Normativa d’Ús del Correu Electrònic. 
  • NS06-Normativa de Qualificació de la Informació. 
  • NS07-Normativa d’Interconnexió de Sistemes. 
  • NS08-Normativa d’ús de la signatura electrònica. 
  • NS09–Normativa de Navegació Segura. 

La normativa de seguretat estarà a disposició de tots els membres de l’organització que necessitin conèixer-la, en particular per a aquells que utilitzin, operin o administrin els sistemes d’informació i comunicacions. La normativa de seguretat estarà disponible a la intranet de Gecor System S.L.U. 

Aquesta normativa haurà de ser revisada i actualitzada amb caràcter periòdic anual. Per a una accessibilitat a tota la documentació interna, els integrants de Gecor System S.L.U seran autoritzats manualment. Podran accedir mitjançant el següent enllaç al OneDrive on es troba la mateixa: documentació interna. 

Serà sempre aprovada en última instància per la Direcció de Gecor System S.L.U. 

Aprovat per:  Salvador Marin Mellado.