1. APROBACIÓN Y ENTRADA EN VIGOR
Texto aprobado el día 8 de enero de 2.024 por la Comisión de Seguridad de la Información.
Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
Este texto deriva de la anterior, que fue aprobado el día 2 de noviembre de 2.022 por la Alta Dirección.
2. INTRODUCCIÓN
Martínez Centro de Gestión, S.L. depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad y la norma ISO 27001 de Sistemas de Seguridad de la Información, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad de la información es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos relacionados con la Administración Pública.
Los departamentos deben estar preparados para la prevención, detección, respuesta y conservación, de acuerdo al Artículo 8 del ENS.
2.1. PREVENCIÓN
Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos, y todos los requisitos necesarios para dar cumplimiento a la norma ISO 27001. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, los departamentos deben:
Autorizar los sistemas antes de entrar en operación.
Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
Solicitar la revisión periódica por parte de terceros con el fin de obtener una
evaluación independiente.
2.2. DETECCIÓN
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
2.3. RESPUESTA
Los departamentos deben:
Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta que se especifican en el Plan de Continuidad de Negocio.
2.4. RECUPERACIÓN
Para garantizar la disponibilidad de los servicios críticos, la organización se ha dotado de un plan general de continuidad de negocio, valorando los posibles escenarios de desastre y estrategias de recuperación, y estableciendo planes de emergencia que se revisan periódicamente.
3. ALCANCE
Esta política se aplica a todos los sistemas de información de Martínez Centro de Gestión, S.L., tanto en su vertiente tecnológica como de organización, y a todos los miembros de la organización, sin excepciones.
4. MISIÓN Y OBJETIVOS MARCO
Se han establecido los siguientes objetivos marco:
5. MARCO NORMATIVO
Guías presentes en el Control de Guías Aplicables de la empresa.
Legislación presente en el Control de Legislación Aplicable de la empresa.
Y además, voluntariamente se supeditan los sistemas a la ISO 27001.
6. ORGANIZACIÓN DE LA SEGURIDAD
6.1. COMITÉS: FUNCIONES Y RESPONSABILIDADES
El Comité de Seguridad de la Información estará formado por el responsable de seguridad, la responsable de calidad y medioambiente y el gerente.
Dado que Martínez Centro de Gestión S.L. es una empresa de dimensiones reducidas los roles y responsabilidades se han adaptado a una estructura intermedia:
– dirección, que integra las siguientes funciones:
– responsable en materia de protección de datos
– responsable de información
– responsable del servicio
– Jefe de Informática y seguridad, reportando a dirección, asume la función de:
– responsable de seguridad
– Jefes de área, reportando a dirección, que asume la función de:
– responsable del sistema
– los responsables de informática (programación, multas y gestión tributaria), asumen la función de:
– administrador de seguridad
El Comité de Seguridad de la Información tendrá las siguientes funciones:
6.2. ROLES: FUNCIONES Y RESPONSABILIDADES
Dirección:
El Responsable de Seguridad es designado por Dirección, y sus funciones y responsabilidades son:
Jefes de área
Responsables de informática
6.3. PROCEDIMIENTOS DE DESIGNACIÓN
El Responsable de Seguridad de la Información será nombrado por Dirección a propuesta del Comité de Seguridad de la Información.
Dirección designará a los Responsables de Sistema y a los Administradores de Seguridad, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.
Estos nombramientos se revisarán cada año o cuando alguno de los puestos quede vacante.
6.4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Será misión del Comité de Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la Dirección de la empresa y difundida para que la conozcan todas las partes afectadas, y puesta a disposición a través de la web de la empresa.
7. DATOS DE CARÁCTER PERSONAL
Martínez Centro de Gestión, S.L. trata datos de carácter personal. El documento de seguridad adaptado al Reglamento General de Protección de Datos, al que tendrán acceso sólo las personas autorizadas, recoge los procesos afectados y los responsables correspondientes. Todos los sistemas de información de Martínez Centro de Gestión, S.L. se ajustarán a los requisitos de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal tratados.
8. GESTIÓN DE RIESGOS
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
regularmente, al menos una vez al año
cuando cambie la información manejada
cuando cambien los servicios prestados
cuando ocurra un incidente grave de seguridad
cuando se reporten vulnerabilidades graves
Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
9. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN
Esta Política de Seguridad de la Información complementa las políticas de seguridad de Martínez Centro de Gestión, S.L. en diferentes materias:
La lista protocolos de seguridad que se tienen en cuenta es la siguiente:
Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. Se ha desarrollado un manual del sistema de gestión, con una serie de procedimientos técnicos_
En el procedimiento técnico PT-08 se especifica la clasificación de la información, y en el P-01 se especifica todo el control de elaboración, revisión y aprobación de la documentación.
La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
La normativa de seguridad estará disponible en la intranet
ISO EN Z:\GRUPOMCG
e impresa en
Oficinas C/Albacete, 10, en el despacho del Gerente, y en la oficina sita en C/Vicente Zaragozá, 34 – bajo
10. OBLIGACIONES DEL PERSONAL
Todos los miembros de Martínez Centro de Gestión, S.L. tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de Martínez Centro de Gestión, S.L. atenderán a una sesión de concienciación en materia de seguridad de la información al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de Martínez Centro de Gestión, S.L., en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas de la información recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
11. TERCERAS PARTES
Cuando Martínez Centro de Gestión, S.L. preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando Martínez Centro de Gestión, S.L. utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
Dirección
aprobado
Antonio Martínez