Política de Seguridad de la Información
Control de Versiones:
Identificación | |
---|---|
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN | Revisión: 0 |
Ámbito: TECNOPREVEN SL | Estado: [Borrador] |
Registro de Cambios | |||
---|---|---|---|
Revisión | Cambio | Apartado | Fecha |
0 | Elaboración del documento inicial | Todos | 27/04/2024 |
Aprobado por: Comité de Seguridad
Fecha de aprobación: 30 de Mayo de 2024
- PROPÓSITO
- ALCANCE
- RESPONSABILIDADES
- SEGURIDAD INFORMACIÓN
- GESTIÓN DE RIESGOS
- CONTROL ACCESOS
- USO ACEPTADO DE RECURSOS
- PROTECCIÓN CONTRA SOFTWARE MALICIOSO
- EDUCACIÓN Y CONCIENCIACIÓN
- GESTIÓN INCIDENTES
- CUMPLIMIENTO LEGAL
- DESARROLLO Y REVISIÓN DE LA POLÍTICA DE SEGURIDAD
- CONTACTOS PARA LA SEGURIDAD DE LA INFORMACIÓN
1. PROPÓSITO
La presente Política de Seguridad tiene como objetivo proteger los activos de información, garantizar:
La integridad.
Confidencialidad.
Disponibilidad de los datos.
Salvaguardar los intereses de Tecnopreven frente a riesgos potenciales en materia de seguridad.
Será misión del Comité de Seguridad la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la organización y difundida para que la conozcan todas las partes afectadas.
Dicho Comité de Seguridad tendrá las siguientes responsabilidades:
Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.
Elaborar la estrategia de evolución de TECNOPREVEN SL en lo que respecta a seguridad de la información.
Coordinar los esfuerzos de los diferentes departamentos en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
Elaborar y revisar regularmente la Política de Seguridad de la Información para que sea aprobada por la organización.
Aprobar la normativa de seguridad de la información.
Elaborar y aprobar los requisitos de formación y calificación de los Responsables de área, técnicos y usuarios desde el punto de vista de seguridad de la información.
Monitorizar los principales riesgos residuales asumidos por TECNOPREVEN SL y recomendar posibles actuaciones respecto de ellos.
Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones al respecto.
Velar por la coordinación de los diferentes departamentos en la gestión de incidentes de seguridad de la información.
Promover la realización de auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
Aprobar planes de mejora de la seguridad de la información de TECNOPREVEN SL.
Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
Informar regularmente del estado de la seguridad de la información a la Dirección.
El comité de seguridad estará formado por:
Responsable de Seguridad
Responsable del Servicio
Responsable de la Información
Responsable del Sistema
2. ALCANCE
Esta política se aplica a todos los empleados, contratistas, proveedores y cualquier persona que tenga acceso a la información y a los sistemas de Tecnopreven. Abarca todas las formas de información, ya sea digital, impresa o verbal.
3. RESPONSABILIDADES
-
Alta Dirección: La responsabilidad a tal efecto es la de establecer y revisar la política de seguridad, asignar recursos y asegurar el cumplimiento. La Dirección asigna, renueva y comunica las responsabilidades, autoridades y roles en lo referente a la seguridad de la información, determinando en cada caso los motivos y el plazo de vigencia. También se asegurará de que los usuarios conozcan, asuman y ejerzan las responsabilidades, autoridades y roles asignados, resolviendo los conflictos que se generen en relación con cada responsabilidad en Seguridad de la Información.
-
Responsable de Seguridad: El Responsable de Seguridad deberá implementar y gestionar la política, realizar evaluaciones de riesgo y coordinar medidas de seguridad. El responsable de la seguridad será distinto del responsable del sistema, no debiendo existir dependencia jerárquica entre ambos.
Sus responsabilidades serán las siguientes:
Velar por el buen uso de la información y, por tanto, de su protección.
Ser responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
Establecer los requisitos de la información en materia de seguridad.
Determinar los niveles de seguridad de la información.
Aprobar formalmente el nivel de seguridad de la información.
Mantener el nivel adecuado de seguridad de la información manejada y de los servicios prestados por los sistemas.
Realizar o promover las auditorías periódicas a las que obliga el ENS para verificar el cumplimiento de los requisitos del mismo.
Gestionar la formación y concienciación en materia de seguridad TIC.
Comprobar que las medidas de seguridad existentes son las adecuadas para las necesidades de la entidad.
Revisar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.
Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.
Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución, emitiendo informes periódicos sobre los más relevantes al Comité.
-
Responsable del Servicio:
Establecer los requisitos del servicio en materia de seguridad, incluyendo los requisitos de interoperabilidad, accesibilidad y disponibilidad.
Determinar los niveles de seguridad de los servicios.
Aprobar formalmente el nivel de seguridad del servicio.
-
Responsable de la Información:
Velar por el buen uso de la información y, por tanto, de su protección.
Ser responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
Establecer los requisitos de la información en materia de seguridad.
Determinar los niveles de seguridad de la información.
Aprobar formalmente el nivel de seguridad de la información.
-
Responsable del Sistema:
Gestionar el Sistema de Información durante todo su ciclo de vida, desde la especificación, instalación hasta el seguimiento de su funcionamiento.
Definir los criterios de uso y los servicios disponibles en el Sistema.
Definir las políticas de acceso de usuarios al Sistema.
Aprobar los cambios que afecten a la seguridad del modo de operación del Sistema.
Determinar la configuración autorizada de hardware y software a utilizar en el Sistema y aprobar las modificaciones importantes de dicha configuración.
Realizar el análisis y gestión de riesgos en el Sistema.
Elaborar y aprobar la documentación de seguridad del Sistema.
Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS.
Implantar y controlar las medidas específicas de seguridad del Sistema.
Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos.
Suspensión del manejo de cierta información o la prestación de un cierto servicio si detecta deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.
-
Empleados y Colaboradores: Cumplir con la política y reportar incidentes de seguridad. Todos los miembros de TECNOPREVEN S.L tienen la obligación de conocer y cumplir la Política de Seguridad de la Información, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.
Todos los empleados y colaboradores TECNOPREVEN S.L recibirán concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de TECNOPREVEN S.L, en particular a los de nueva incorporación. Las personas con responsabilidad en el uso, operacional o administrativo de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación como si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
Cuando TECNOPREVEN SL utilice servicios de terceros o les ceda información, se les hará partícipe de esta Política de seguridad y de la normativa de seguridad que afecte a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en esta normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de estos terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de seguridad.
4. SEGURIDAD DE LA INFORMACIÓN
Confidencialidad: La información debe ser accesible solo a las personas autorizadas. Se deben implementar medidas para evitar el acceso no autorizado.
Integridad: Se deben proteger los datos contra alteraciones no autorizadas. Esto incluye la implementación de controles de acceso y registros de auditoría.
Disponibilidad: Los sistemas y la información deben estar disponibles para los usuarios autorizados cuando se requieran. Se debe asegurar la continuidad del servicio mediante planes de respaldo y recuperación ante desastres.
5. GESTIÓN DE RIESGOS
Se debe realizar una evaluación de riesgos de seguridad regularmente para identificar y mitigar posibles amenazas a la información y a los sistemas de Tecnopreven. Los riesgos identificados se deben tratar mediante la implementación de controles apropiados.
Esta Evaluación se realizará:
Regularmente, al menos una vez al año.
Cuando cambie la información manejada.
Cuando cambien los servicios prestados.
Cuando ocurra un incidente grave de seguridad.
Cuando se reporten vulnerabilidades graves.
6. CONTROL DE ACCESO
Autenticación: Todos los usuarios deben ser autenticados mediante contraseñas seguras u otros métodos de autenticación antes de acceder a los sistemas.
Autorización: Se deben implementar controles de acceso basados en roles para asegurar que los usuarios solo accedan a la información necesaria para sus funciones.
Renovación de Acceso: El acceso debe ser revocado inmediatamente para usuarios que ya no requieren acceso a la información o a los sistemas.
7. USO ACEPTABLE DE RECURSOS
Los sistemas y recursos de información de Tecnopreven deben ser utilizados únicamente para fines laborales. Está prohibido el uso no autorizado de software, la instalación de programas no aprobados y el acceso a sitios web no relacionados con el trabajo.
8. PROTECCIÓN CONTRA EL SOFTWARE MALICIOSO
Se deben implementar y mantener actualizados programas antivirus y de detección de malware. Todo el software debe ser verificado antes de su instalación para asegurar que no contiene software malicioso.
9. EDUCACIÓN Y CONCIENCIACIÓN
Tecnopreven proporcionará formación continua en materia de seguridad a todos los empleados para asegurar que comprendan sus responsabilidades y las mejores prácticas en seguridad de la información.
10. GESTIÓN DE INCIDENTES
Todos los incidentes de seguridad deben ser reportados y gestionados de manera inmediata. Se debe llevar un registro de incidentes y se deben tomar medidas correctivas para prevenir futuros incidentes.
11. CUMPLIMIENTO LEGAL
TECNOPREVEN S.L se compromete a cumplir con todas las leyes y regulaciones aplicables en materia de seguridad de la información y protección de datos.
Así pues TECNOPREVEN SL debe estar preparada para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Esquema Nacional de Seguridad y a la Ley Orgánica de Protección de Datos.
Esta Política de Seguridad sigue las indicaciones de la guía CCN-STIC-805 del Centro Criptológico Nacional, centro adscrito al Centro Nacional de Inteligencia
12. DESARROLLO Y REVISIÓN DE LA POLÍTICA DE SEGURIDAD
La Política de seguridad será complementada por medio de diversas normativas y recomendaciones, como:
Normativas y procedimientos de seguridad.
Procedimientos técnicos de seguridad.
Informes.
Registros.
El cuerpo normativo sobre seguridad de la información se desarrollará en tres niveles por ámbito de aplicación, nivel de detalle técnico y obligatoriedad de cumplimiento, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:
Primer nivel normativo: constituido por la presente Política de seguridad de la información, la normativa interna del uso de los medios electrónicos y las directrices generales de seguridad aplicables a los organismos o unidades de la organización a los que sean de aplicación dichos documentos.
Segundo nivel normativo: constituido por las normas de seguridad derivadas de las anteriores.
Tercer nivel normativo: constituido por procedimientos, guías e instrucciones técnicas. Son documentos que, cumpliendo con lo expuesto en la Política de seguridad de la información, determinan las acciones o tareas a realizar en el desempeño de un proceso.
Cuando resulte procedente, se deberá recabar la opinión de los usuarios, tanto internos como externos, sin perjuicio de que se adopten las medidas necesarias para proteger los intereses y el buen funcionamiento de la organización.
Esta política será revisada anualmente y cada vez que sea necesario, para asegurar su adecuación y efectividades continuas. Las revisiones deben ser aprobadas por la alta dirección.
13. CONTACTOS PARA LA SEGURIDAD DE LA INFORMACIÓN
Para cualquier duda o reporte relacionado con la seguridad de la información, los empleados deben contactar al Responsable de Seguridad de la Información a través del correo seguridad@tecnopreven.com o al teléfono (93) 414 00 66.
Tecnopreven S.L.
Fecha de Emisión: 11 de Junio de 2024
Versión: 1.0
Aprobado por: Comité de Seguridad
Nombre y Firma del Director General
Silvio Sunyer Dequigiovanni
Tecnopreven S.L.