Martínez Centro de Gestión, S.L. – Política de segureta de la informació
Martínez Centro de Gestión S.L.
- APROVACIÓ I ENTRADA EN VIGOR
Text aprovat el dia 2 de febrer de 2.026 per la Comissió de Seguretat de la Informació.
Esta Política se seguretat de la Informació és efectiva des d’esta data i fins que siga reemplaçada per una nova Política.
Este text deriva de l’anterior, que va ser aprovat el dia 8 de gener de 2.024 per l’Alta Direcció.
- INTRODUCCIÓ
Martínez Centro de Gestión, S.L. depén dels sistemes TIC (Tecnologies d’Informació i Comunicacions) per a aconseguir els seus objectius. Estos sistemes han de ser administrats amb diligència, prenent les mesures adequades per a protegir-los enfront de danys accidentals o deliberats que puguen afectar la disponibilitat, integritat o confidencialitat de la informació tractada o els servicis prestats.
L’objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels servicis, actuant preventivament, supervisant l’activitat diària i reaccionant amb prestesa als incidents.
Els sistemes TIC han d’estar protegits contra amenaces de ràpida evolució amb potencial per a incidir en la confidencialitat, integritat, disponibilitat, ús previst i valor de la informació i els servicis. Per a defendre’s d’estes amenaces, es requerix una estratègia que s’adapte als canvis en les condicions de l’entorn per a garantir la prestació contínua dels servicis. Això implica que els departaments han d’aplicar les mesures mínimes de seguretat exigides per l’Esquema Nacional de Seguretat i la norma ISO 27001 de Sistemes de Seguretat de la Informació, així com realitzar un seguiment continu dels nivells de prestació de servicis, seguir i analitzar les vulnerabilitats reportades, i preparar una resposta efectiva als incidents per a garantir la continuïtat dels servicis prestats.
Els diferents departaments han de cerciorar-se que la seguretat de la informació és una part integral de cada etapa del cicle de vida del sistema, des de la seua concepció fins a la seua retirada de servici, passant per les decisions de desenrotllament o adquisició i les activitats d’explotació. Els requisits de seguretat i les necessitats de finançament han de ser identificats i inclosos en la planificació, en la sol·licitud d’ofertes, i en plecs de licitació per a projectes relacionats amb l’Administració Pública.
Els departaments han d’estar preparats per a la prevenció, detecció, resposta i conservació, d’acord amb l’Article 8 de l’ENS.
2.1. PREVENCIÓ
Els departaments han d’evitar, o almenys previndre en la mesura que siga possible, que la informació o els servicis es vegen perjudicats per incidents de seguretat. Per a això els departaments han d’implementar les mesures mínimes de seguretat determinades per l’ENS, així com qualsevol control addicional identificat a través d’una avaluació d’amenaces i riscos, i tots els requisits necessaris per a donar compliment a la norma ISO 27001. Estos controls, i els rols i responsabilitats de seguretat de tot el personal, han d’estar clarament definits i documentats.
Per a garantir el compliment de la política, els departaments deuen:
– Autoritzar els sistemes abans d’entrar en operació.
– Avaluar regularment la seguretat, incloent-hi avaluacions dels canvis de configuració realitzats de manera rutinària.
– Sol·licitar la revisió periòdica per part de tercers amb la finalitat d’obtindre una avaluació independent.
2.1. PREVENCIÓ
Els departaments han d’evitar, o almenys previndre en la mesura que siga possible, que la informació o els servicis es vegen perjudicats per incidents de seguretat. Per a això els departaments han d’implementar les mesures mínimes de seguretat determinades per l’ENS, així com qualsevol control addicional identificat a través d’una avaluació d’amenaces i riscos, i tots els requisits necessaris per a donar compliment a la norma ISO 27001. Estos controls, i els rols i responsabilitats de seguretat de tot el personal, han d’estar clarament definits i documentats.
Per a garantir el compliment de la política, els departaments deuen:
– Autoritzar els sistemes abans d’entrar en operació.
– Avaluar regularment la seguretat, incloent-hi avaluacions dels canvis de configuració realitzats de manera rutinària.
– Sol·licitar la revisió periòdica per part de tercers amb la finalitat d’obtindre una avaluació independent.
2.2. DETECCIÓ
Atés que els servicis es poden degradar ràpidament a causa d’incidents, que van des d’una simple desacceleració fins a la seua detenció, els servicis han de monitorar l’operació de manera contínua per a detectar anomalies en els nivells de prestació dels servicis i actuar en conseqüència segons el que s’establix en l’Article 9 de l’ENS.
El monitoratge és especialment rellevant quan s’establixen línies de defensa d’acord amb l’Article 8 de l’ENS. S’establiran mecanismes de detecció, anàlisi i reporte que arriben als responsables regularment i quan es produïx una desviació significativa dels paràmetres que s’hagen preestablit com a normals.
2.3. RESPOSTA
Els departaments deuen:
Establir mecanismes per a respondre eficaçment als incidents de seguretat.
Designar punt de contacte per a les comunicacions respecte a incidents detectats en altres departaments o en altres organismes.
Establir protocols per a l’intercanvi d’informació relacionada amb l’incident. Això inclou comunicacions, en tots dos sentits, amb els Equips de Resposta que s’especifiquen en el Pla de Continuïtat de Negoci.
2.4. RECUPERACIÓ
Per a garantir la disponibilitat dels servicis crítics, l’organització s’ha dotat d’un pla general de continuïtat de negoci, valorant els possibles escenaris de desastre i estratègies de recuperació, i establint plans d’emergència que es revisen periòdicament.
- ALCANÇ
Esta política s’aplica a tots els sistemes d’informació de Martínez Centro de Gestión, S.L., tant en el seu vessant tecnològic com d’organització, i a tots els membres de l’organització, sense excepcions.
- MISIÓ I OBJETIUS MARC
S’han establit els següents objectius marc:
-
- Establir un compromís de millora contínua del SGSI
- Assegurar el compliment dels requisits legals, regulacions, llicències, contractes i els acords pactats amb els clients
- Millorar contínuament el funcionament operatiu intern tant des de l’estudi del nostre context com els requisits de les nostres parts interessades i els resultats del nostre sistema de gestió, com proactivament a través d’avaluar riscos i oportunitats que ens impulsen accions de millora.
- Sotmetre els nostres actius d’informació a anàlisi de riscos contínuament
- Garantir que la informació tractada només serà utilitzada per als propòsits originals i sota la supervisió de l’empresa, assignant un propietari per a cada sistema d’informació
- Conscienciant i formant al personal sobre la importància de la seguretat de la informació.
- MARC NORMATIU
Guies presents en el Control de Guies Aplicables de l’empresa.
Legislació present en el Control de Legislació Aplicable de l’empresa.
I a més, voluntàriament se supediten els sistemes a l’ISO 27001.
- ORGANITZACIÓ DE LA SEGURETAT
6.1. COMITÉS: FUNCIONS I RESPONSABILITATS
El Comité de Seguretat de la Informació estarà format per el responsable de seguretat, la responsable de calitaty mediambient, el gerent (responsable de la informació) i el director de projectes (també DPO de la empresa).
Atés a que Martínez Centro de Gestión S.L. es una empresa de dimensions reduïdes els rols y responsabilitats s’han adaptat a una estructura intermèdia:
– direcció, que integra les següents funcions:
– responsable de informació
– responsable del servici
– Cap d’Informática i seguretat, reportant a direcció, asumeix la funció de:
– responsable de seguretat
– Responsable de Calitat, Mediambient i Seguretat i Salut:
– responsable del sistema
– Director de Projectes:
– responsable en materia de protecció de dades
El Comité de Seguretat de la Informació tindrà les següents funcions:
– Atendre les inquietuds de la Direcció i dels diferents departaments.
– Promoure la millora contínua del sistema de gestió de la seguretat de la informació.
– Elaborar l’estratègia d’evolució de l’Organització pel que fa a seguretat de la informació.
– Coordinar els esforços de les diferents àrees en matèria de seguretat de la informació, per a assegurar que els esforços són consistents, alineats amb l’estratègia decidida en la matèria, i evitar duplicitats.
– Elaborar (i revisar regularment) la Política de Seguretat de la informació perquè siga aprovada per la Direcció.
– Aprovar la normativa de seguretat de la informació.
– Elaborar i aprovar els requisits de formació i qualificació d’administradors, operadors i usuaris des del punt de vista de seguretat de la informació.
– Monitorar els principals riscos residuals assumits per l’Organització i recomanar possibles actuacions respecte d’ells.
– Monitorar l’acompliment dels processos de gestió d’incidents de seguretat i recomanar possibles actuacions respecte d’ells. En particular, vetlar per la coordinació de les diferents àrees de seguretat en la gestió d’incidents de seguretat de la informació.
– Promoure la realització de les auditories periòdiques que permeten verificar el compliment de les obligacions de l’organisme en matèria de seguretat.
– Aprovar plans de millora de la seguretat de la informació de l’Organització. En particular vetlarà per la coordinació de diferents plans que puguen realitzar-se en diferents àrees.
– Prioritzar les actuacions en matèria de seguretat quan els recursos siguen limitats.
– Vetlar perquè la seguretat de la informació es tinga en compte en tots els projectes per a l’Administració Pública des de la seua especificació inicial fins a la seua posada en operació. En particular haurà de vetlar per la creació i utilització de servicis horitzontals que reduïsquen duplicitats i donen suport a un funcionament homogeni de tots els sistemes d’informació.
– Resoldre els conflictes de responsabilitat que puguen aparéixer entre els diferents responsables i/o entre diferents àrees de l’Organització. En el cas de no poder resoldre un conflicte en este àmbit, es recorrerà al Comité de Direcció.
– Vetlar pel compliment de la normativa d’aplicació legal, reguladora i sectorial.
– Constituir-se com a Comité de Crisi, amb la finalitat de coordinar l’aplicació del Pla de Continuïtat, quan siga necessari.
– Realitzar una revisió de l’estat de seguretat de l’empresa i dels possibles incidents, a partir de l’informe anual de Revisió per Direcció, remés pel responsable de Seguretat.
– Aprovar el resultat de l’anàlisi de riscos, i establir el risc residual acceptable, així com els plans de tractament dels riscos importants o intolerables.
6.2. ROLS: FUNCIONS i RESPONSABILITATS
Direcció:
– La Direcció és responsable d’organitzar les funcions i responsabilitats, la política de seguretat de l’Organisme, i de facilitar els recursos adequats per a aconseguir els objectius proposats
– Els membres de la Direcció han de donar bon exemple en el compliment de les normes de seguretat establides.
– Aprovar la normativa de seguretat
– Aprovar els procediments operatius de seguretat
– Aprovar els plans de continuïtat
– En el cas que hi haja un conflicte i la decisió del comité de seguretat no siga acceptada per alguna de les parts, es recorrerà a la direcció de l’empresa per a determinar les actuacions a seguir en cada cas.
El Responsable de Seguretat és designat per Direcció, i les seues funcions i responsabilitats són:
– Mantindre la seguretat de la informació manejada i el dels servicis prestats pels sistemes d’informació en el seu àmbit de responsabilitat, d’acord amb el que s’establix en la Política de Seguretat de la Informació.
– Promoure la formació i conscienciació en matèria de seguretat de la informació dins del seu àmbit de responsabilitat
– Realitzar les funcions de Secretari del Comité de Seguretat de la Informació
– Determinació de la categoria del sistema
– Realitzar les anàlisis de riscos i proposar els plans de tractament
– Realitzar la declaració d’aplicabilitat
– Considerar mesures de seguretat addicionals
– Elaborar i mantindre la documentació de seguretat del sistema
– Elaborar la normativa de seguretat
– Proposar els procediments operatius de seguretat
– Reportar l’estat de seguretat del sistema
– Elaborar els plans de millora de la seguretat
– Elaborar els plans de conscienciació i formació
– Proposar els plans de continuïtat
– Aprovar el cicle de vida dels desenrotllaments de programari: especificació, arquitectura, desenrotllament, operació i canvis
Caps d’àrea
– Operar i mantindre el Sistema d’Informació durant tot el seu cicle de vida, de les seues especificacions, instal·lació i verificació del seu correcte funcionament.
– Col·laborar en la definició de la topologia i sistema de gestió del Sistema d’Informació establint els criteris d’ús i els servicis disponibles en este.
– Cerciorar-se que les mesures específiques de seguretat s’integren adequadament dins del marc general de seguretat.
– El Responsable del Sistema pot acordar la suspensió del maneig d’una certa informació o la prestació d’un cert servici si és informat de deficiències greus de seguretat que pogueren afectar la satisfacció dels requisits establits. Esta decisió ha de ser acordada amb els responsables de la informació afectada, del servici afectat i el Responsable de la Seguretat, abans de ser executades
Responsables d’informàtica
– La implementació, gestió i manteniment de les mesures de seguretat aplicables al Sistema d’Informació.
– La gestió, configuració i actualització, si és el cas, del maquinari i programari en els quals es basen els mecanismes i servicis de seguretat del Sistema d’Informació.
– La gestió de les autoritzacions concedides als usuaris del sistema, en particular els privilegis concedits, incloent-hi el monitoratge que l’activitat desenrotllada en el sistema s’ajusta a l’autoritzat.
– L’aplicació dels Procediments Operatius de Seguretat.
– Proposar canvis en la configuració vigent del Sistema d’Informació al Comité de Seguretat, d’acord amb el responsable de seguretat.
– Assegurar que els controls de seguretat establits són complits estrictament.
– Assegurar que són aplicats els procediments aprovats per a manejar el sistema d’informació.
– Supervisar les instal·lacions de maquinari i programari, les seues modificacions i millores per a assegurar que la seguretat no està compromesa i que en tot moment s’ajusten a les autoritzacions pertinents.
– Monitorar l’estat de seguretat del sistema proporcionat per les ferramentes de gestió d’esdeveniments de seguretat i mecanismes d’auditoria tècnica implementats en el sistema.
– Informar els Responsables de la Seguretat i del Sistema de qualsevol anomalia, compromís o vulnerabilitat relacionada amb la seguretat.
– Col·laborar en la investigació i resolució d’incidents de seguretat, des de la seua detecció fins a la seua resolució.
6.3. PROCEDIMIENTS DE DESIGNACIÓ
El Responsable de Seguretat de la Informació serà nomenat per Direcció a proposta del Comité de Seguretat de la Informació.
Direcció designarà als Responsables de Sistema i als Administradors de Seguretat, precisant les seues funcions i responsabilitats dins del marc establit per esta Política.
Estos nomenaments es revisaran cada any o quan algun dels llocs quede vacant.
6.4. POLÍTICA DE SEGURETAT DE LA INFORMACIÓ
Serà missió del Comité de Seguretat de la Informació la revisió anual d’esta Política de Seguretat de la Informació i la proposta de revisió o manteniment d’esta. La Política serà aprovada per la Direcció de l’empresa i difosa perquè la coneguen totes les parts afectades, i posada a disposició a través de la web de l’empresa.
- DADES DE CARÀCTER PERSONAL
Martínez Centro de Gestión, S.L. tracta dades de caràcter personal. El document de seguretat adaptat al Reglament General de Protecció de Dades, al qual tindran accés només les persones autoritzades, arreplega els processos afectats i els responsables corresponents. Tots els sistemes d’informació de Martínez Centro de Gestión, S.L. s’ajustaran als requisits de seguretat requerits per la normativa per a la naturalesa i finalitat de les dades de caràcter personal tractats.
- GESTIÓ DE RISCOS
Tots els sistemes subjectes a esta Política hauran de realitzar una anàlisi de riscos, avaluant les amenaces i els riscos als quals estan exposats. Esta anàlisi es repetirà:
regularment, almenys una vegada a l’any
quan canvie la informació manejada
quan canvien els servicis prestats
quan ocórrega un incident greu de seguretat
quan es reporten vulnerabilitats greus
Per a l’harmonització de les anàlisis de riscos, el Comité de Seguretat de la Informació establirà una valoració de referència per als diferents tipus d’informació manejats i els diferents servicis prestats. El Comité de Seguretat de la Informació dinamitzarà la disponibilitat de recursos per a atendre les necessitats de seguretat dels diferents sistemes, promovent inversions de caràcter horitzontal.
- DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ
Esta Política de Seguretat de la Informació complementa les polítiques de seguretat de Martínez Centro de Gestión, S.L. en diferents matèries:
La llista protocols de seguretat que es tenen en compte és la següent:
– Seqüència d’arrancada de servidors
– Instal·lació del gestor de cues
– Instal·lació de punts verds
– Alta i preparació de nou equip (equip intern i extern) i baixa equipe
– Tasques automatitzades: còpia de fitxers. Amb explicació de les interdependències amb altres sistemes, ex. notificació.
– Utilització dels recursos compartits
– Realització de còpies de seguretat i restauració (bases de dades, arxius i correu)
– Configuració del correu electrònic
– Configuració de tallafocs i antivirus (informes de directives)
– Compra de material
– Ús del correu electrònic
– Registres d’informació
– Gestió d’incidències
– Actuació per a corregir errors convencionals: 1) equivocació manual en passar el cobrament, 2) desfer la passada de tributària a recaptació, 3) anul·lar generació de notificacions
– Instruccions per a decidir quan es pot sol·licitar ajuda, qui i per quina via s’ha de sol·licitar (telefònica o per correu)
– Destrucció de paper amb informació sensible
– Procediments de monitoratge (ex. estat d’emmagatzematge)
– Gestió de *logs i de registres d’auditoria
Esta Política es desenrotllarà per mitjà de normativa de seguretat que afronte aspectes específics. S’ha desenrotllat un manual del sistema de gestió, amb una sèrie de procediments tècnics_
– PT-01.- GESTIÓ TRIBUTÀRIA I RECAPTACIÓ
– PT-04.- GESTIÓ INTEGRAL DE MULTES AYTO VALÈNCIA
– PT-06.- ORGANITZACIÓ DE LA SEGURETAT DE LA INFORMACIÓ
– PT-07.- SEGURETAT LLIGADA AL PERSONAL
– PT-08.- GESTIÓ D’ACTIUS
– PT-09.- CONTROL D’ACCÉS
– PT-10.- CRIPTOGRAFIA
– PT-11.- SEGURETAT FÍSICA I DE L’ENTORN
– PT-12.- SEGURETAT EN LES OPERACIONS
– PT-13.- SEGURETAT EN LES COMUNICACIONS
– PT-14.- ADQUISICIÓ, DESENROTLLAMENT I MANTENIMENT DELS SISTEMES D’INFORMACIÓ
– PT-15.- RELACIÓ AMB PROVEÏDORS
– PT-16.- GESTIÓ D’INCIDENTS DE SEGURETAT DE LA INFORMACIÓ
– PT-17.- ASPECTES DE SEGURETAT DE LA INFORMACIÓ PER A LA GESTIÓ DE LA CONTINUÏTAT DE NEGOCI
– PT-18.- COMPLIMENT
En el procediment tècnic PT-08 s’especifica la classificació de la informació, i en el P-01 s’especifica tot el control d’elaboració, revisió i aprovació de la documentació.
La normativa de seguretat estarà a la disposició de tots els membres de l’organització que necessiten conéixer-la, en particular per a aquells que utilitzen, operen o administren els sistemes d’informació i comunicacions.
La normativa de seguretat estarà disponible en la intranet
ISO EN Z:\GRUPOMCG
i impresa en
Oficines C/Albacete, 10, en el despatx del Gerent, i en l’oficina situada en C/Vicente Zaragozá, 34 – baix
- OBLIGACIONS DEL PERSONAL
Tots els membres de Martínez Centro de Gestión, S.L. tenen l’obligació de conéixer i complir esta Política de Seguretat de la Informació i la Normativa de Seguretat, sent responsabilitat del Comité de Seguretat de la Informació disposar els mitjans necessaris perquè la informació arribe als afectats.
Tots els membres de Martínez Centro de Gestión, S.L. atendran una sessió de conscienciació en matèria de seguretat de la informació almenys una vegada a l’any. S’establirà un programa de conscienciació contínua per a atendre a tots els membres de Martínez Centro de Gestión, S.L., en particular als de nova incorporació.
Les persones amb responsabilitat en l’ús, operació o administració de sistemes de la informació rebran formació per al maneig segur dels sistemes en la mesura en què la necessiten per a fer el seu treball. La formació serà obligatòria abans d’assumir una responsabilitat, tant si és la seua primera assignació o si es tracta d’un canvi de lloc de treball o de responsabilitats en este.
- TERCERES PARTS
Quan Martínez Centro de Gestión, S.L. preste servicis a altres organismes o manege informació d’altres organismes, se’ls farà partícips d’esta Política de Seguretat de la Informació, s’establiran canals per a reporte i coordinació dels respectius Comités de Seguretat i s’establiran procediments d’actuació per a la reacció davant incidents de seguretat.
Quan Martínez Centro de Gestión, S.L. utilitze servicis de tercers o cedisca informació a tercers, se’ls farà partícips d’esta Política de Seguretat i de la Normativa de Seguretat que concernisca a estos servicis o informació. Felicitat tercera part quedarà subjecta a les obligacions establides en esta normativa, podent desenrotllar els seus propis procediments operatius per a satisfer-la. S’establiran procediments específics de reporte i resolució d’incidències. Es garantirà que el personal de tercers està adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que l’establit en esta Política.
Quan algun aspecte de la Política no puga ser satisfet per una tercera part segons es requerix en els paràgrafs anteriors, es requerirà un informe del Responsable de Seguretat que precise els riscos en què s’incorre i la manera de tractar-los. Es requerirà l’aprovació d’este informe pels responsables de la informació i els servicis afectats abans de seguir #avant.
Direcció
Aprovat
Antonio Martínez
