Política de Seguridad de la Información

Introducción

La información es un activo principal para nuestra organización y, por tanto, tratamos la seguridad de la información como un elemento crítico y fundamental. Este reto se multiplica en exigencia e importancia si lo aplicamos a un entorno tan específico y crítico como el nuestro, donde el tratamiento y la gestión segura de la información se imponen como una necesidad para competir y mejorar en el futuro.

Asimismo, la legislación actual es clara en lo referente a la seguridad de la información, disponiendo de un marco legal muy concreto que requiere de un cumplimiento exigente por parte de todos, pero que ayuda a adoptar las medidas de seguridad apropiadas en los sistemas de la información.

El objeto de este documento es establecer los principios y reglas básicas en las que se sostiene la seguridad de la información de Techno Pro Hispania S.L.. Este conjunto de principios fundamentales ha sido formulado basándose en necesidades válidas de negocio, reconocimiento del valor añadido de los sistemas a proteger y una comprensión de los riesgos asociados a estos sistemas. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes. Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (ENS), así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC. Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.

Prevención

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia. La monitorización es especialmente relevante cuando se establecen líneas de defensa. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

Respuesta

Los departamentos deben:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

Recuperación

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

Organización de la seguridad

Comités, funciones y responsabilidades

Se ha establecido un comité de seguridad TIC formado por:

  • Representante de Dirección.
  • Delegado de Protección de Datos.
  • Responsable de Seguridad/CISO.
  • Responsable del Sistema.

El secretario del Comité de Seguridad TIC será el Responsable de Seguridad y tendrá como funciones:

  • Convocar las reuniones del Comité de Seguridad de la Información.
  • Preparar los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
  • Elaborar el acta de las reuniones.
  • Ser responsable de la ejecución directa o delegada de las decisiones del Comité.
  • Comunicar las decisiones.

El Comité de Seguridad TIC reportará a la Dirección Ejecutiva.

Roles: Funciones y Responsabilidades
  • Dirección Ejecutiva: Participa en la elaboración de objetivos y mediciones, aprueba las políticas y valida las conclusiones de auditorías.
  • Responsable de la Información: Determina los requisitos de seguridad de la información tratada.
  • Responsable del Servicio: Determina los requisitos de seguridad de los servicios prestados.
  • Responsable de la Seguridad/CISO: Determina decisiones de seguridad pertinentes y promueve la formación en esta materia.
  • Responsable del Sistema: Se encarga de la operación del sistema de información atendiendo a las medidas de seguridad determinadas.
  • Delegado de Protección de Datos: Informa y supervisa el cumplimiento de la normativa de protección de datos.

Aprobación y entrada en vigor

Esta Política de Seguridad de la Información es efectiva desde la fecha de aprobación y hasta que fuere reemplazada por una nueva.

Aprobado por Francisco Hueso Martínez
Fecha: 20/12/2024