Más Información: 976 595 611

Política de Seguridad de la Información ISO 27001.

 

1. OBJETO/ALCANCE

ACESA CONSULTING comprende la importancia de la seguridad de la información, entendida como un enfoque sistemático para proteger los datos, ya sea de carácter personal o no, y garantizar la confidencialidad, integridad y disponibilidad de la información que maneja ACESA CONSULTING. Esto implica identificar riesgos, establecer controles y mantener un sistema de gestión enfocado en la prevención de amenazas y en la garantía de la continuidad del negocio. Por ello, teniendo como prioridad la protección de la información, establece un sistema de seguridad orientado a este ámbito.

Esta Política de Seguridad de la Información se elabora por tanto como punto de partida del sistema de gestión de seguridad de la información implantado en ACESA CONSULTING, por lo que se aplica a todos los documentos y activos definidos en su alcance. En cualquier caso, debe ser conocida y cumplida por todo el personal de la organización.

2. NORMAS DE REFERENCIA

· UNE-ISO/IEC 27000 – Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Visión de conjunto y vocabulario.

· ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos.

· ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información

3. OTROS DOCUMENTOS DE REFERENCIA

· N/A.

4. RESPONSABILIDADES

Dirección:

· Aprobar la presente política.

· Asegurar que la presente política y el resto de documentación del SGSI que deban conocer está a disposición del personal.

· Garantizar, en última instancia, que el personal recibe directrices suficientes en materia de seguridad de la información para cumplir con

sus funciones.

· Asegurar los recursos necesarios para el cumplimiento de la presente política.

· Promover el cumplimiento de la presente política.

· Realizar la revisión del sistema.

Es responsabilidad del Responsable del SGSI:

· Elaborar y mantener actualizada la presente política, así como el resto de los documentos que componen el SGSI.

· Establecer, o asegurarse de que se establecen, las medidas técnicas de seguridad.

· Realizar el análisis y gestión de riesgos, aplicado a los sistemas de tratamiento de la información.

Todo el personal:

· Aceptar y cumplir la presente política.

5. OBJETIVOS DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Los objetivos generales de la Política de Seguridad de la Información son:

· Asegurar el acceso, integridad, confidencialidad, disponibilidad, autenticidad y trazabilidad de la información, y la prestación continuada de nuestros servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con rapidez a los incidentes.

· Disponer de las medidas de control necesarias para el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, especialmente en lo relativo a la protección de datos de carácter personal.

· Proteger los recursos de información y a la tecnología utilizada para su procesamiento, frente a amenazas internas o externas, deliberadas o accidentales, derivadas de los activos o del contexto, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información, y garantizar de forma adecuada la continuidad del negocio, incluso en situaciones adversas.

· Asegurar la continuidad del negocio y la seguridad de los sistemas de información ante las amenazas provenientes del cambio climático.

· Asegurar que se toman las acciones pertinentes para la clasificación e inventariado de activos de información, así como para el análisis de riesgos de acuerdo con la normativa vigente.

· Garantizar que se toman acciones para asegurar e incrementar la capacitación del personal.

· Describir la estructura para el marco de políticas, estándares y procedimientos en materia de seguridad de la información a ser desarrollados en la organización.

· Fomentar la mejora continua del sistema de gestión de seguridad de la información.

· Identificar de manera genérica los roles y responsabilidades que surgen en relación con la seguridad de la información en la organización.

· Reflejar el compromiso de la Dirección con la seguridad de la información y la mejora constante del sistema, mediante la firma de la presente.

Todas las exenciones y excepciones al cumplimiento de esta política o a cualquiera de los documentos que integran el SGSI deberán estar suficientemente motivadas y aprobadas de forma previa y expresa por el Responsable del SGSI y/o Dirección, siendo preceptivo que se estime la imprescindibilidad de dicho proceso, acción o elemento, y la inexistencia de alternativas viables a éste.

6. ENFOQUE EN LA GESTIÓN DE RIESGOS

El sistema de gestión de seguridad de la información está enfocado en una correcta gestión del riesgo que permita tomar decisiones informadas del entorno, para proteger así los activos de ACESA CONSULTING y minimizar posibles daños, sean de la índole que sean. Por tanto, el análisis y gestión de riesgos de acuerdo con una metodología objetiva que garantice su fiabilidad, y la obtención de unos resultados medibles, comparables y reproducibles será parte esencial del proceso de seguridad, ya que dará lugar a las acciones que se tomen para minimizar los riesgos no aceptables y proteger los activos de la organización.

Nótese que la gestión del riesgo es un proceso continuo, por lo que ACESA CONSULTING evaluará periódicamente los riesgos, y revisará regularmente la efectividad de las medidas de mitigación.

7. INSTRUMENTOS DE DESARROLLO

La Política de Seguridad de la Información se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. Se usarán los siguientes instrumentos:

· Políticas de seguridad específicas: Uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de los usuarios. Son de carácter obligatorio.

· Normativas de seguridad: Tienen carácter obligatorio y buscan que los usuarios a apliquen correctamente las medidas de seguridad,

proporcionando razonamientos en los casos en los que no existan procedimientos precisos. Ayudan a prevenir que se pasen por alto aspectos importantes de seguridad que pueden materializarse de varias formas.

· Procedimientos de seguridad: Afrontan tareas concretas, indicando lo que hay que hacer, paso a paso, de los diferentes procesos.

Todos ellos se comunicarán a través de medios corporativos a todos aquellos interesados que, por las especificades de sus funciones, necesiten conocerlos.

8. REVISIÓN

Esta política será revisada al menos una vez al año y siempre que haya cambios relevantes en la organización, con el fin de asegurar que ésta se adecúa a la estrategia y necesidades de la propia organización.

Fdo.

La Dirección Responsable del SGSI

En Zaragoza, a 10 de abril de 2024

Política de Seguridad de la información ENS.

1.   OBJETO Y ALCANCE

La Política de Seguridad de la Información es un documento de alto nivel que define lo que significa ‘seguridad de la información’ en una organización.

En este sentido, el objeto de este documento es definir una política que rija la forma en que la organización gestiona y protege la información y los servicios que considera críticos, la cual se compromete a cumplir de acuerdo con las garantías que requiere el Esquema Nacional de Seguridad, así como con el resto de la legislación vigente, y muy especialmente con aquélla relativa a la confidencialidad de la información y la protección de datos. Por tanto, la presente política se materializará y desarrollará mediante la articulación de un Sistema de Gestión de Seguridad de la Información documentado y con un proceso regular de aprobación.

Así, se busca dar cumplimiento a los artículos 10 y 12, y Anexo II del R.D. 311/2022.

De forma concreta, la presente Política de Seguridad es aplicable sobre las TIC y especialmente los sistemas lógicos y físicos que soportan las líneas de negocio de ACESA CONSULTING.

2.   NORMAS Y GUÍAS DE REFERENCIA

  • Reglamento (UE) n. º 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la Información y Comercio Electrónico (LSSI).
  • Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Guía CCN-STIC 801 – ENS Responsabilidades y Funciones
  • Guía CCN-STIC-805 – Política de Seguridad
  • Guía CCN-STIC-402 – Organización y Gestión para la Seguridad de los Sistemas TIC
  • Guía CCN-STIC-201 – Organización y Gestión para la Seguridad de las STIC

3.   OTROS DOCUMENTOS DE REFERENCIA

  • Normativa de seguridad.
  • Acta de constitución del Comité de Seguridad.
  • Acta de nombramiento del Responsable de Seguridad.
  • Acta de nombramiento del Responsable del Sistema.
  • Acta de nombramiento del Responsable de la Información.
  • Acta de nombramiento del Responsable del Servicio.

4.   RESPONSABILIDADES

  • Responsable de Seguridad:
    • Elaborar y actualizar la Política de Seguridad Integral, con el apoyo de los Responsables de Sistema, Servicio e Información.
  • Comité de Seguridad:
    • Revisar y aprobar la Política de Seguridad.
  • Dirección:
    • Aprobar la Política de Seguridad, como representante de la organización, mediante su firma de la misma.

5.   DESARROLLO

5.1. Aprobación y entrada en vigor

Texto aprobado el día 20 de febrero de 2024 por la Dirección de ACESA CONSULTING, S.A.

Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política. Se revisará de forma ordinaria de manera anual y, de forma extraordinaria, siempre que se den cambios significativos en la estructura, objetivos y seguridad de la organización.

5.2. Introducción

ACESA CONSULTING depende de los sistemas TIC (Tecnologías de Información y

Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el art. 8 del R.D. 311/2022.

5.2.1. Prevención

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

5.2.2. Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben vigilar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el art. 10 del R.D. 311/2022.

La vigilancia es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el art. 10 del R.D. 311/2022. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

5.2.3. Respuesta

Los departamentos deben:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

5.2.4. Recuperación

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

5.3. Alcance

Esta política se aplica a todos los sistemas TIC de ACESA CONSULTING y a todos los miembros de la organización, sin excepciones.

5.4. Misión

La Dirección de ACESA CONSULTING, consciente del compromiso que contrae con sus clientes y la importancia del cuidado de la seguridad integral, ha establecido en su organización un Sistema de Gestión de Seguridad de la Información basado en el Real Decreto 311/2022, atendiendo a los siguientes objetivos:

  • Asegurar que los servicios prestados y productos suministrados son seguros, fiables, cumplen con los pliegos de condiciones, normas e instrucciones aplicables, se adaptan a los requisitos y expectativas de sus clientes y mejoran continuamente.
  • Mantener al día la legislación aplicable y cumplir todos los requisitos legales y normativos establecidos en materia de calidad, gestión ambiental y seguridad de la información, asociados a las actividades y aspectos de la organización que sean de obligado cumplimiento, y también aquellos que suscriba voluntariamente.
  • Conseguir y mantener el nivel de seguridad requerido para garantizar de forma adecuada la continuidad del negocio, incluso en situaciones adversas.
  • Incrementar la integración y el apoyo mutuo de los aspectos físicos y lógicos de la seguridad.
  • Asegurar la disponibilidad, confidencialidad, integridad, trazabilidad y autenticidad de la información.
  • Establecer la estructura corporativa de seguridad definida por los órganos de decisión de la organización y crear los canales de comunicación adecuados entre todos los implicados.
  • Proteger a las personas que trabajan en la empresa, la confidencialidad y disponibilidad de sus comunicaciones y la integridad de su información. También vela por los demás activos que componen el patrimonio de la compañía, como son las instalaciones o los contenidos de todo género.
  • Implicar, motivar y comprometer al personal propio y aquel que trabaje en nombre de ACESA CONSULTING, con objeto de buscar su participación en la gestión, desarrollo y aplicación del sistema de gestión de la Seguridad de la Información implantado.
  • Establecer e implantar planes de formación y divulgación en seguridad para la mejora continua de la formación del personal.

5.5. Marco normativo

  • Reglamento (UE) n. º 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la Información y Comercio Electrónico (LSSI).
  • Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

5.6. Organización de la seguridad

5.6.1.     Comité de Seguridad: Funciones y responsabilidades

El Comité de Seguridad es el mecanismo de coordinación y resolución de conflictos, entre otras funciones:

  • Vela por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial.
  • Aprobar el inicio de la implantación del Sistema de Gestión.
  • Atender las solicitudes, en materia de Seguridad de la Información, de la organización y de los diferentes roles de seguridad y/o áreas informando regularmente del estado de la Seguridad de la Información.
  • Asesorar en materia de Seguridad de la Información.
  • Revisar la Política de Seguridad, que será aprobada por la Alta Dirección.
  • Aprobar la Normativa de seguridad.
  • Aprobar las políticas y demás documentación de seguridad de las diferentes áreas, que serán presentadas por el Responsable de Seguridad.
  • Coordinar y aprobar las propuestas recibidas de proyectos de los diferentes ámbitos de seguridad de cara a la mejora continua de ésta. Los presupuestos elevados serán transmitidos a Dirección para su aprobación. El Responsable de Seguridad se encargará de llevar a cabo un control y presentación regular del proceso de los proyectos y anuncio de las posibles desviaciones.
  • Debe definir la asignación de roles y los criterios para alcanzar las garantías que estime pertinentes en lo relativo a segregación de tareas.
  • Resolver los conflictos de responsabilidad que pueden aparecer entre las diferentes unidades administrativas.
  • Promover la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello se encargará de:
    • Coordinar los esfuerzos de las diferentes áreas en materia de Seguridad de la Información, para asegurar que éstos sean consistentes, alineados con los objetivos de la organización, y evitar duplicidades.
    • Velar por que la Seguridad de la Información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
    • Realizar un seguimiento de los principales riesgos residuales asumidos por la organización y recomendar posibles actuaciones respecto de ellos.
    • Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
    • Realizar un seguimiento de la implantación y funcionamiento del Sistema de Gestión.
    • Elaborar y/o aprobar programas de formación destinados a formar y sensibilizar al personal en materia de Seguridad de la Información y en particular en materia de protección de datos de carácter personal.
    • Elaborar y/o aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de Seguridad de la Información.
    • Promover la realización de las auditorías periódicas ENS y de protección de datos que permitan verificar el cumplimiento de las obligaciones de la Administración en materia de Seguridad de la Información.

El detalle de la composición del Comité de Seguridad de la Información, así como las obligaciones de cada rol en el ámbito de la seguridad de la información se determina actas del propio Comité.

5.6.2. Roles: Funciones y responsabilidades

5.6.2.1. Responsable de Seguridad

Será quien tome las decisiones adecuadas para satisfacer los requisitos de seguridad de la información y de los servicios. Dispondrá de las siguientes funciones:

  • Actúa como Secretario del Comité de Seguridad.
  • Convoca al Comité de Seguridad, recopilando la información pertinente.
  • Es responsable de estar al tanto de cambios normativos (leyes, reglamentos o prácticas sectoriales) que afecten a la organización, debiendo informarse de las consecuencias para las actividades de la organización, alertando al Comité de Seguridad y proponiendo las medidas oportunas de adecuación al nuevo marco.
  • Es el responsable de la toma de decisiones día a día entre las reuniones del Comité de Seguridad, velando por la unidad de acción y la coordinación de actuaciones, en general y en especial en caso de incidencias que tengan repercusión fuera de la organización y en caso de desastres.
  • Mantener y verificar el nivel adecuado de seguridad de la Información manejada y de los servicios electrónicos prestados por los sistemas de información.
  • Promover la formación y concienciación en materia de seguridad de la información.
  • Designar responsables de la ejecución del análisis de riesgos, de la declaración de aplicabilidad; identificar medidas de seguridad; determinar configuraciones necesarias; elaborar documentación del sistema.
  • Proporcionar asesoramiento para la determinación de la categoría del sistema en colaboración con el Responsable del Sistema y/o Comité de Seguridad de la Información.
  • Participar en la elaboración e implantación de los planes de mejora de la seguridad y, llegado el caso, en los planes de continuidad, procediendo a su validación.
  • Gestionar las revisiones externas o internas del sistema.
  • Gestionar los procesos de certificación.
  • Elevar al Comité de Seguridad la aprobación de cambios y otros requisitos del sistema.

5.6.2.2. Responsable del Sistema

Dentro de sus áreas de actuación, tendrán asignadas las siguientes funciones:

  • Paralizar o dar suspensión al acceso a información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.
  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y la gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
  • Prestar asesoramiento para la determinación de la Categoría del Sistema.
  • Colaborar para la realización de análisis de riesgos de los sistemas de información de los que es responsable.
  • Colaborar, si así se le requiere, en la elaboración e implantación de los planes de mejora de la seguridad y, llegado el caso, en los planes de continuidad.
  • Garantizar la seguridad del sistema:
    • Supervisión de la gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad.
    • La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la actividad desarrollada en el sistema y su correspondencia con lo autorizado.
    • Aprobar los cambios sustanciales en la configuración vigente del Sistema de Información.
    • Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
    • Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información.
    • Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
    • Revisar la monitorización del estado de seguridad proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.

5.6.2.3. Responsable de la Información

Será el propietario de la misma y tendrá las siguientes funciones:

  • Clasificar la información conforme a los criterios y categorías establecidas en el ENS y en cada una de las dimensiones de seguridad conocidas y aplicables (disponibilidad, autenticidad, trazabilidad, confidencialidad e integridad), dentro del marco establecido en el Anexo I del ENS, para determinar así los niveles de seguridad de la información.
  • Establecer y aprobar los requisitos de seguridad aplicables a la información dentro del marco establecido en el Anexo I del R.D. 311/2022, de 3 de mayo, previa propuesta del Responsable de Seguridad y/o Comité de Seguridad.
  • Apoyar la realización de los análisis de riesgos y valorar las diferentes opciones de gestión del riesgo a implantar.
  • Aceptar los niveles de riesgo residual que afecten a la Información.
  • Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes que puedan tener acceso a información de los procedimientos administrativos que gestiona y realizar el seguimiento de su cumplimiento.

El Responsable de la Información tiene la responsabilidad última del uso que se haga de la información y, por tanto, de su protección. Es el último responsable de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad (en materia de protección de datos) y de disponibilidad (en materia de seguridad de la información).

5.6.2.4. Responsable del Servicio

Será quien determine los requisitos de los servicios prestados, en consonancia, tendrá las siguientes funciones:

  • Establecer los requisitos del servicio en materia de seguridad, o, en terminología del ENS, la protestad de determinar los niveles de seguridad de los servicios.
  • Clasificar los servicios conforme a los criterios y categorías establecidas en el ENS y en cada una de las dimensiones de seguridad conocidas y aplicables (disponibilidad, autenticidad, trazabilidad, confidencialidad e integridad), dentro del marco establecido en el Anexo I del ENS.
  • Atender a los requisitos de seguridad de la información, tales como disponibilidad, accesibilidad, interoperabilidad, etc. que se demanden en la prestación de los servicios.
  • Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes que puedan afectar a sus servicios y realizar el seguimiento de su cumplimiento.
  • Aceptar los niveles de riesgo residual que afecten al Servicio.

5.6.3. Dirección: Funciones y responsabilidades

Las responsabilidades de Dirección son las siguientes:

  • Dirección es responsable de que la organización alcance sus objetivos a corto, medio y largo plazo.
  • Debe respaldar explícita y notoriamente las actividades STIC de la organización.
  • Expresa sus inquietudes al Comité de Seguridad a través del Responsable de Seguridad.
  • Aprueba la Política de Seguridad.
  • Aprueba presupuestos presentados por el Comité de Seguridad cuando sobrepasen una cantidad determinada.
  • La Dirección asume la responsabilidad final y última del cumplimiento de la política.

5.6.4. Procedimientos de designación

Es función de la Dirección designar al Responsable de Seguridad, Responsable del Sistema, Responsable de la Información y Responsable del Servicio.

Los nombramientos se revisarán cada dos años o cuando alguno de los puestos quede vacante.

5.6.5. Resolución de conflictos

En caso de conflicto entre los diferentes responsables, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Responsable de Seguridad.

5.6.6. Revisión de la Política de Seguridad Integral

Será misión del Comité de Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por Dirección y difundida para que la conozcan todas las partes afectadas.

5.7. Datos de carácter personal

ACESA CONSULTING solo recogerá datos de carácter personal cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos vigente en cada caso.

A la vista de la entrada en aplicación, el día 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y su traslación a la legislación española con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se han ido adaptando las medidas oportunas, tales como el análisis de legitimidad jurídica de cada uno de los datos tratamientos de datos que se lleven a cabo, el análisis de riesgos, la evaluación de impacto si el riesgo es alto, el registro de actividades y el nombramiento de quien vaya a desempeñar las funciones de Delegado de Protección de Datos.

Del mismo modo, se deberá de garantizar el cumplimiento de la Política de protección de datos establecida por ACESA CONSULTING.

5.8. Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • regularmente, al menos una vez al año
  • cuando cambie la información manejada
  • cuando cambien los servicios prestados
  • cuando ocurra un incidente grave de seguridad
  • cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

5.9. Desarrollo de la Política de Seguridad Integral

Esta Política de Seguridad de la Información complementa las políticas de seguridad de ACESA CONSULTING entre otras, en las siguientes materias:

  • Organización de la seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos de seguridad y contratación de servicios de seguridad.
  • Mantenimiento del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Monitorización de la actividad y protección ante código dañino.
  • Incidentes de seguridad y vulnerabilidades técnicas.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La normativa de seguridad estará disponible en la intranet (https://teams.microsoft.com/l/channel/19%3AviwyItfjvY7QCsoUoBdlWKvaK23KetdkVlDByBCPtXc1%40thread.tacv2/ISO%2027001%2FENS?groupId=7046e774-3109-4a0c-9b68-6771985c4f03&tenantId=3f825374-919b-414c-aa5d-40df59fbe5a3&allowXTenantAccess=False)

5.10. Obligaciones del personal

Todos los miembros de ACESA CONSULTING tienen la obligación de conocer y cumplir esta Política de Seguridad Integral y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de ACESA CONSULTING atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de ACESA CONSULTING, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

El incumplimiento de la presente Política de Seguridad Integral podrá acarrear las medidas disciplinarias que procedan, sin perjuicio de las responsabilidades legales correspondientes.

5.11. Terceras partes

Cuando ACESA CONSULTING preste servicios o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad Integral, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando ACESA CONSULTING utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

FDO. Dirección General de Automatización y Control Empresarial, S.A. Fecha: 12/03/2024

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies