Objeto
Establecer las directrices y principios que regirán el modo en que Vimantik Soluciones Tecnológicas gestionará y protegerá su información y sus servicios, a través de la implantación, mantenimiento y mejora, dentro del marco regulatorio legal y vigente como el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, siendo su aplicación en el ámbito consultoría y mantenimiento informático, instalaciones eléctricas y telecomunicaciones.
Alcance
Tomando en cuenta el contexto, en el cual se determinan las cuestiones internas y externas de la organización, las partes interesadas que son relevantes y sus requisitos para la seguridad de la información, así como las interfaces y dependencias entre las actividades realizadas por la entidad y las que se llevan a cabo por otras organizaciones en el cumplimiento de su misión, además del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, Vimantik Soluciones Tecnológicas ha establecido el alcance siguiente:
Consultoría y mantenimiento informático, instalaciones eléctricas y telecomunicaciones.
Términos y definiciones
- ENS: Son las siglas del Esquema Nacional de Seguridad, Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
- Parte interesada: Persona o grupo que tiene un interés en el desempeño o éxito de la organización.
- Autenticidad: Propiedad de que una persona y o empresa que ha accedido y utilizado la información es lo que afirma ser.
- Confidencialidad: Propiedad de la información de no ponerse a disposición o ser reveladas a personas y o empresas no autorizadas.
- Integridad: Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.
- Trazabilidad: Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a una persona y o empresa.
- Disponibilidad: Propiedad de la información de estar accesible y utilizable en el momento que se requiera por la persona y o empresa autorizada.
- Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de esta (sistemas, soportes, edificios, personas…) que tenga valor para la organización.
- Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.
- Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.
- Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
- Tratamiento de riesgos: Proceso de modificar el riesgo, mediante la implementación de controles.
- Datos personales: Cualquier información relacionada con una persona que permita identificarla o pueda servir para identificarla.
Misión, marco legal y regulatorio en que se desarrollan las actividades
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016.
- Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
- Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.
- Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
- Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y por el que se incorporan al ordenamiento jurídico español la Directiva 2014/26/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, y la Directiva (UE) 2017/1564 del Parlamento Europeo y del Consejo, de 13 de septiembre de 2017.
- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
- Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
- Reglamento eIDAS: https://digital-strategy.ec.europa.eu/es/policies/eidas-regulation
Objetivos de seguridad de la información
Los objetivos de seguridad de la información se establecerán en las funciones y niveles pertinentes, enfocados a la mejora y utilizando como marco de referencia:
- Cambios en las necesidades de las partes interesadas que lleven a una mejora del alcance del sistema.
- Requisitos de seguridad de la información aplicables y los resultados de la apreciación y del tratamiento de los riesgos para garantizar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información, así como la protección de los datos personales.
- Factores internos como la aplicación de técnicas organizativas que mejoren el seguimiento de la tramitación y resolución de incidentes de seguridad.
- Factores externos como los avances tecnológicos, cuya aplicación mejoren la eficacia del tratamiento de los riesgos.
- La mejora de la eficacia de la formación y concienciación del personal que trabaja en la entidad y afecta a su desempeño en seguridad de la información.
Objetivos de seguridad de la información y planificación para su ejecución
Los objetivos de seguridad de la información se establecerán en las funciones y niveles pertinentes, enfocados a la mejora y utilizando como marco de referencia:
- Cambios en las necesidades de las partes interesadas que lleven a una mejora del alcance del sistema.
- Requisitos de seguridad de la información aplicables y los resultados de la apreciación y del tratamiento de los riesgos para garantizar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información, así como la protección de los datos personales.
- Factores internos como la aplicación de técnicas organizativas que mejoren el seguimiento de la tramitación y resolución de incidentes de seguridad.
- Factores externos como los avances tecnológicos, cuya aplicación mejoren la eficacia del tratamiento de los riesgos.
- La mejora de la eficacia de la formación y concienciación del personal que trabaja en la entidad y afecta a su desempeño en seguridad de la información.
Funciones y responsabilidades de seguridad de la información
A continuación, se definen las funciones y responsabilidades de seguridad de la información de los puestos de Vimantik Soluciones Tecnológicas SL:
- La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización.
- La política de seguridad, en aplicación del principio de diferenciación de responsabilidades a que se refiere el artículo 11 y según se detalla en la sección 3.1 del anexo II, deberá ser conocida por todas las personas que formen parte de la organización e identificar de forma inequívoca a los responsables de velar por su cumplimiento, los cuales tendrán las siguientes funciones:
- El responsable de la información determinará los requisitos de la información tratada
- El responsable del servicio determinará los requisitos de los servicios prestados.
- El responsable de la seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
- El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.
- El responsable de la seguridad será distinto del responsable del sistema, no debiendo existir dependencia jerárquica entre ambos. En aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que ambas funciones recaigan en la misma persona o en distintas personas entre las que exista relación jerárquica, deberán aplicarse medidas compensatorias para garantizar la finalidad del principio de diferenciación de responsabilidades previsto en el artículo.
- Una Instrucción Técnica de Seguridad regulará el Esquema de Certificación de Responsables de la Seguridad, que recogerá las condiciones y requisitos exigibles a esta figura.
La presente política será difundida a todos las partes interesadas de Vimantik Soluciones Tecnológicas para que sean conocedoras de las funciones y responsabilidades designados. Se revisará y difundirá de forma anual por el Comité de Seguridad siempre que la estructura de la organización se mantenga.
Estructura y composición del comité
El Comité de Seguridad de la Información de Vimantik Soluciones Tecnológicas está formado por un presidente, una vicepresidenta y una secretaria:
- El rol de Presidente es asignado a la Alta Dirección.
- El rol de Vicepresidenta es asignado al puesto de Responsable de Administración.
- El rol de Secretaria es asignada al puesto de Administrativa.
- El Comité de Seguridad de la Información será responsable de supervisar y garantizar la
- implementación efectiva de las políticas de seguridad de la información, así como de identificar y abordar posibles riesgos y vulnerabilidades en los sistemas y datos de la organización.
La designación del Comité de Seguridad se renovará cada 4 años siempre que la estructura de la organización se mantenga y no cause baja de alguno de las personas designadas a formar parte del Comité. La designación del comité queda recogida en el Acta de Designación.
Establecimiento, implantación, mantenimiento y mejora del ENS de Vimatik Soluciones Tecnológicas y directrices para la gestión de la documentación
El despliegue del ENS de Vimantik Soluciones Tecnológicas se iniciará a partir del Análisis de Riesgos de Seguridad de la Información (incluyendo los derivados del tratamiento de datos personales), que permitirá determinar el nivel de riesgo de seguridad de la información en que se encuentra la entidad e identificar los controles de seguridad necesarios y oportunidades de mejora para el tratamiento del riesgo y llevarlo a un nivel aceptable, tomando en cuenta el Contexto de la Organización.
Los controles de seguridad deberán implantarse, mantenerse y mejorarse continuamente, y estar disponibles como información documentada que deberá ser revisada y aprobada por el Comité de Seguridad de la Información, según se establezca en el Procedimiento de Creación, Actualización y Control de la Información Documentada.
En cumplimiento del artículo 12 del Real Decreto del ENS, la presente Política de Seguridad se desarrollará aplicando los siguientes requisitos mínimos para incluirse en la documentación del sistema:
- Organización e implantación del proceso de seguridad.
- Análisis y gestión de los riesgos de seguridad de los sistemas de información (incluyendo los derivados del tratamiento de datos personales).
- Gestión de personal.
- Profesionalidad.
- Autorización y control de los accesos.
- Protección de las instalaciones.
- Adquisición de productos de seguridad y contratación de servicios de seguridad.
- Mínimo privilegio.
- Integridad y actualización del sistema.
- Protección de la información almacenada y en tránsito.
- Prevención ante otros sistemas de información interconectados.
- Registro de actividad y detección de código dañino.
- Incidentes de seguridad.
- Continuidad de la actividad.
- Mejora continua del proceso de seguridad.
Además de aplicar los requisitos del propio Real Decreto 3/2010 como tal, se deberán utilizar las Guías CCN-STIC de Seguridad que son las normas, instrucciones, guías y recomendaciones desarrolladas por el Centro Criptológico Nacional con el fin de mejorar el grado de seguridad de las organizaciones, especialmente la Serie CCN-STIC-800 que establece las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el ENS.
Se deberá comunicar la información documentada de los controles de seguridad al personal que trabaja en la entidad (personal interno y externo), que tendrá la obligación de aplicarla en la realización de sus actividades laborales, comprometiéndose de este modo, al cumplimiento de los requisitos del ENS de Vimantik Soluciones Tecnológicas. La información documentada será clasificada en: pública, interna y confidencial, dando el uso adecuado de acuerdo con dicha clasificación y según el criterio que se establezca en el Procedimiento de Clasificación, Etiquetado y Protección de la Información. Se realizarán auditorías que revisen y verifiquen el cumplimiento del ENS de Vimantik Soluciones Tecnológicas con los requisitos del Real Decreto 3/2010, de 8 de enero que regula el Esquema Nacional de Seguridad y su modificación por el Real Decreto 951/2015, de 23 de octubre, para el ENS, por lo que el personal afectado por el alcance de dichas auditorías deberá ser colaborativo para la eficacia de las mismas, así como en la aplicación de las acciones correctivas que se deriven para el mejoramiento continuo.
Revisión de la política de seguridad de la información
La presente Política de Seguridad de la Información será examinada en las revisiones del sistema por la Dirección, a través del Comité de Seguridad de la Información, siempre que se produzcan cambios significativos, como mínimo, una vez al año.
Aprobación, difusión y aplicación de la política de seguridad de la información
La presente Política de Seguridad de la Información será aprobada por la Alta Dirección, como órgano que ostenta las máximas competencias ejecutivas, mediante firma y difundida a las partes interesadas de Vimantik Soluciones Tecnológicas. Así mismo, la Alta Dirección de Vimantik Soluciones Tecnológicas dotará de los recursos necesarios para la aplicación efectiva de esta política, y para su buen desarrollo, tanto en las actividades de implantación como en su posterior mantenimiento y mejora de todo el ENS de la entidad.