Política de Seguretat de la Informació

Martínez Centro de Gestión, S.L. – Política de segureta de la informació

1.APROVACIÓ I ENTRADA EN VIGOR

  • Text aprovat el dia 8 de gener de 2.024 per la Comissió de Seguretat de la Informació.
  • Esta Política de Seguretat de la Informació és efectiva des d’esta data i fins que siga reemplaçada per una nova Política.
  • Este text deriva de l’anterior, que va ser aprovat el dia 2 de novembre de 2.022 per l’Alta Direcció.

2.INTRODUCCIÓ

Martínez Centro de Gestión, S.L. depén dels sistemes TIC (Tecnologies d’Informació i Comunicacions) per assolir els seus objectius. Estos sistemes han de ser administrats amb diligència, prenent les mesures adequades per a protegir-los contra danys accidentals o deliberats que puguen afectar la disponibilitat, integritat o confidencialitat de la informació tractada o els servicis prestats.

L’objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels servicis, actuant preventivament, supervisant l’activitat diària i reaccionant amb prestesa als incidents.

Els sistemes TIC han d’estar protegits contra amenaces de ràpida evolució amb potencial per a incidir en la confidencialitat, integritat, disponibilitat, ús previst i valor de la informació i els servicis. Per a defendre’s d’estes amenaces, es requerix una estratègia que s’adapte als canvis en les condicions de l’entorn per a garantir la prestació contínua dels servicis. Això implica que els departaments han d’aplicar les mesures mínimes de seguretat exigides per l’Esquema Nacional de Seguretat i la norma ISO 27001 de Sistemes de Seguretat de la Informació, així com realitzar un seguiment continu dels nivells de prestació de servicis, seguir i analitzar les vulnerabilitats reportades, i preparar una resposta efectiva als incidents per a garantir la continuïtat dels servicis prestats

Els diferents departaments han de cerciorar-se de que la seguretat de la informació és una part integral de cada etapa del cicle de vida del sistema, des de la seua concepció fins a la seua retirada de servici, passant per les decisions de desenvolupament o adquisició i les activitats d’explotació. Els requisits de seguretat i les necessitats de finançament han de ser identificats i inclosos en la planificació, en la sol·licitud d’ofertes, i en plecs de licitació per a projectes relacionats amb l’Administració Pública.

Els departaments han d’estar preparats per a previndre, detectar, reaccionar i recuperar-se d’incidents, d’acord a l’Article 7 de l’ENS.

2.1. PREVENCIÓ

Els departaments han d’evitar, o almenys previndre en la mesura que siga possible, que la informació o els servicis es vegen perjudicats per incidents de seguretat. Per a això els departaments han d’implementar les mesures mínimes de seguretat determinades per l’ENS, així com qualsevol control addicional identificat mitjançant l’avaluació d’amenaces i riscos, i tots els requisits necessaris per complir la norma ISO 27001. Estos controls, i els rols i responsabilitats de seguretat de tot el personal, han d’estar clarament definits i documentats.

Per a garantir el compliment de la política, els departaments han de:

  • Autoritzar els sistemes abans d’entrar en operació.
  • Avaluar regularment la seguretat, incloent avaluacions dels canvis de configuració realitzats de forma rutinària.
  • Sol·licitar la revisió periòdica per part de tercers per tal d’obtindre una avaluació independent.

2.2. DETECCIÓ

Com que els servicis es poden degradar ràpidament a causa d’incidents, que van des d’una simple desacceleració fins a la seua detenció, els servicis han de monitoritzar l’operació de manera contínua per a detectar anomalies en els nivells de prestació dels servicis i actuar en conseqüència segons el que establix l’Article 9 de l’ENS.

La monitorització és especialment rellevant quan s’establixen línies de defensa d’acord amb l’Article 8 de l’ENS. Disposaran mecanismes de detecció, anàlisi i report que arriben als responsables regularment i quan es produïx una desviació significativa dels paràmetres que s’hagen preestablit com normals.

2.3. RESPOSTA

Els departaments han de:

  • Establir mecanismes per a respondre eficaçment als incidents de seguretat.
  • Designar punt de contacte per a les comunicacions respecte a incidents detectats en altres departaments o en altres organismes.
  • Establir protocols per a l’intercanvi d’informació relacionada amb l’incident. Açò inclou comunicacions, en ambdós sentits, amb els Equips de Resposta que s’especifiquen en el Pla de Continuïtat de Negoci.

2.4. RECUPERACIÓ

Per a garantir la disponibilitat dels servicis crítics, l’organització s’ha dotat d’un pla general de continuïtat de negoci, valorant els possibles escenaris de desastre i estratègies de recuperació, i establint plans d’emergència que es revisen periòdicament.

3. ABAST

Esta política s’aplica a tots els sistemes d’informació de Martínez Centro de Gestión, S.L., tant en el seu vessant tecnològic com d’organització, i a tots els membres de l’organització, sense excepcions.

4. MISSIÓ I OBJECTIUS MARC

S’han establit els següents objectius marc:

Establir un compromís de millora contínua del SGSI

Assegurar el compliment dels requisits legals, regulacions, llicències, contractes i els acords pactats amb els clients.

  • Millorar contínuament el funcionament operatiu intern tant des de l’estudi del nostre context com els requisits de les nostres parts interessades i els resultats del nostre sistema de gestió, com proactivament a través d’avaluar riscos i oportunitats que ens impulsen accions de millora.
  • Sotmetre els nostres actius d’informació a anàlisi de riscos contínuament.
  • Garantir que la informació tractada només serà utilitzada per als propòsits originals i sota la supervisió de l’empresa, assignant un propietari per a cada sistema d’informació.
  • Conscienciant i formant el personal sobre la importància de la seguretat de la informació.

5.MARC NORMATIU

  • Llei 39/2015, d’1 d’octubre, del Procediment Administratiu Comú de l’Administracions Públiques.
  • Llei 40/2015, d’1 d’octubre, de Règim Jurídic del Sector Públic.
  • Llei 11/2007, de 22 de juny, d’accés electrònic dels ciutadans als Servicis Públics.
  • RD 1671/2009, de 6 de novembre, [de desenvolupament parcial de la Llei 11/2007].
  • RD 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’Administració Electrònica.
  • Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’estes dades i pel qual es deroga la directiva 95/46/CE (Reglament general de protecció de dades).
  • Guia CCN-STIC 809 Declaració i Certificació de Conformitat amb l’ENS.
  • Guia CCN-STIC 815 Indicadors i mètriques en l’ENS.
  • Guia CCN-STIC 824 Informe de l’Estat de Seguretat.
  • Guia CCN-STIC 844 Manual d’Usuari d’INES.

 I a més, voluntàriament se supediten els sistemes a la ISO 27001.

      

6. ORGANITZACIÓ DE LA SEGURETAT

6.1. COMITÉS: FUNCIONS I RESPONSABLES

El Comité de Seguretat de la Informació estarà format pel responsable de seguretat, la responsable de qualitat i mediambient i el gerent.

Ja que Martínez Centro de Gestión S.L. és una empresa de dimensions reduïdes els rols i responsabilitats s’han adaptat a una estructura intermèdia:

  • Direcció, que integra les funcions següents:
    • Responsable en matèria de protecció de dades.
    • Responsable d’informació.
    • Responsable del servici.
  • Cap d’Informàtica i seguretat, reportant a direcció, assumix la funció de:
  • Responsable de seguretat.
  • Caps d’àrea, reportant a direcció, que assumix la funció de:
  • Responsable del sistema.

Els responsables d’informàtica (programació, multes i gestió tributària) assumixen la funció de:

  • Administrador de seguretat.

El Comité de Seguretat de la Informació tindrà les funcions següents:

  • Atendre les inquietuds de la Direcció i dels diferents departaments.
  • Promoure la millora contínua del sistema de gestió de la seguretat de la informació.
  • Elaborar l’estratègia d’evolució de l’Organització pel que fa a seguretat de la informació.
  • Coordinar els esforços de les diferents àrees en matèria de seguretat de la informació, per a assegurar que els esforços són consistents, alineats amb l’estratègia decidida en la matèria, i evitar duplicitats.
  • Elaborar (i revisar regularment) la Política de Seguretat de la informació perquè siga aprovada per la Direcció.
  • Aprovar la normativa de seguretat de la informació.
  • Elaborar i aprovar els requisits de formació i qualificació d’administradors, operadors i usuaris des del punt de vista de seguretat de la informació.
  • Monitoritzar els principals riscos residuals assumits per l’Organització i recomanar possibles actuacions respecte d’ells.
  • Monitoritzar l’exercici dels processos de gestió d’incidents de seguretat i recomanar possibles actuacions respecte d’ells. En particular, vetlar per la coordinació de les diferents àrees de seguretat en la gestió d’incidents de seguretat de la informació.
  • Promoure la realització de les auditories periòdiques que permeten verificar el compliment de les obligacions de l’organisme en matèria de seguretat.
  • Aprovar plans de millora de la seguretat de la informació de l’Organització. En particular vetlarà per la coordinació de diferents plans que puguen realitzar-se en diferents àrees.
  • Prioritzar les actuacions en matèria de seguretat quan els recursos siguen limitats
  • Vetlar perquè la seguretat de la informació es tinga en compte en tots els projectes per a l’Administració Pública des de la seua especificació inicial fins a la seua posada en operació. En particular haurà de vetlar per la creació i utilització de servicis horitzontals que reduïsquen duplicitats i recolzen un funcionament homogeni de tots els sistemes d’informació.
  • Resoldre els conflictes de responsabilitat que puguen aparéixer entre els diferents responsables i/o entre diferents àrees de l’Organització.
  • Vetlar pel compliment de la normativa d’aplicació legal, reguladora i sectorial.
  • Constituir-se com a Comité de Crisi, a fi de coordinar l’aplicació del Pla de Continuïtat, quan siga necessari.
  • Realitzar una revisió de l’estat de seguretat de l’empresa i dels possibles incidents, a partir de l’informe anual de Revisió per Direcció, remés pel responsable de Seguretat
  • Aprovar el resultat de l’anàlisi de riscos, i establir el risc residual acceptable, així com els plans de tractament dels riscos importants o intolerables.

6.2. ROLS: FUNCIONS I RESPONSABILITATS

Direcció:

  • La Direcció és responsable d’organitzar les funcions i responsabilitats, la política de seguretat de l’Organisme, i de facilitar els recursos adequats per assolir els objectius proposats.
  • Els membres de la Direcció han de donar bon exemple en el compliment de les normes de seguretat establides.
  • Aprovar la normativa de seguretat.
  • Aprovar els procediments operatius de seguretat.
  • Aprovar els plans de continuïtat

El Responsable de Seguretat és designat per Direcció, i les seues funcions i responsabilitats són

  • Mantindre la seguretat de la información controlada i el dels servicis prestats pels sistemes d’informació en el seu àmbit de responsabilitat, d’acord amb el que establix la Política de Seguretat de la Informació.
  • Promoure la formació i conscienciació en matèria de seguretat de la informació dins del seu àmbit de responsabilitat.
  • Realitzar les funcions de Secretari del Comité de Seguretat de la Informació.
  • Determinació de la categoria del sistema.
  • Realitzar les anàlisis de riscos i proposar els plans de tractament.
  • Realitzar la declaració d’aplicabilitat.
  • Considerar mesures de seguretat addicionals.
  • Elaborar i mantindre la documentació de seguretat del sistema.
  • Elaborar la normativa de seguretat.
  • Proposar els procediments operatius de seguretat.
  • Reportar l’estat de seguretat del sistema.
  • Elaborar els plans de millora de la seguretat.
  • Elaborar els plans de conscienciació i formació.
  • Proposar els plans de continuïtat.
  • Aprovar el cicle de vida dels desenvolupaments de programari: especificació, arquitectura, desenvolupament, operació i canvis.

Cap d’àrea:

  • Operar i mantindre el Sistema d’Informació durant tot el seu cicle de vida, de les seues especificacions, instal·lació i verificació del seu funcionament correcte.
  • Col·laborar en la definició de la topologia i sistema de gestió del Sistema d’Informació establint els criteris d’ús i els servicis disponibles en el mateix.
  • Assegurar-se que les mesures específiques de seguretat s’integren adequadament dins del marc general de seguretat.
  • El Responsable del Sistema pot acordar la suspensió del control d’una certa informació o la prestació d’un cert servici si és informat de deficiències greus de seguretat que pogueren afectar la satisfacció dels requisits establits. Esta decisió ha de ser acordada amb els responsables de la informació afectada, del servici afectat i el Responsable de la Seguretat, abans de ser executades 

Responsables d’informàtica:

  • La implementació, gestió i manteniment de les mesures de seguretat aplicables al Sistema d’Informació.
  • La gestió, configuració i actualització, si és el cas, del maquinari i programari en què es basen els mecanismes i servicis de seguretat del Sistema d’Informació.
  • La gestió de les autoritzacions concedides als usuaris del sistema, en particular els privilegis concedits, incloent la monitorització que l’activitat exercida en el sistema s’ajusta al que autoritza.
  • L’aplicació dels Procediments Operatius de Seguretat.
  • Proposar canvis en la configuració vigent del Sistema d’Informació al Comité de Seguretat, d’acord amb el responsable de seguretat.
  • Assegurar que els controls de seguretat establits són estrictament complits.
  • Assegurar que són aplicats els procediments aprovats per gestionar el sistema d’informació.
  • Supervisar les instal·lacions de maquinari i programari, les seues modificacions i millores per a assegurar que la seguretat no està compromesa i que en tot moment s’ajusten a les autoritzacions pertinents.
  • Monitoritzar l’estat de seguretat del sistema proporcionat per les ferramentes de gestió d’esdeveniments de seguretat i mecanismes d’auditoria tècnica implementats en el sistema.
  • Informar els Responsables de la Seguretat i del Sistema de qualsevol anomalia, compromís o vulnerabilitat relacionada amb la seguretat.
  • Col·laborar en la investigació i resolució d’incidents de seguretat, des de la seua detecció fins a la seua resolució

6.3 PROCEDIMENTS DE DESIGNACIÓ

El Responsable de Seguretat de la Informació serà nomenat per Direcció a proposta del Comité de Seguretat de la Informació.

Direcció designarà els Responsables de Sistema i els Administradors de Seguretat, precisant les seues funcions i responsabilitats dins del marc establit per esta Política.

Estos nomenaments es revisaran cada any o quan algun dels llocs quede vacant.

6.4 POLÍTICA DE SEGURETAT DE LA INFORMACIÓ

Serà missió del Comité de Seguretat de la Informació la revisió anual d’esta Política de Seguretat de la Informació i la proposta de revisió o el seu manteniment. La Política serà aprovada per la Direcció de l’empresa i difosa perquè la coneguen totes les parts afectades, i posada a disposició a mitjançant la web de l’empresa

7. DADES DE CARÀCTER PERSONAL

Martínez Centro de Gestión, S.L. tracta dades de caràcter personal. El document de seguretat adaptat al Reglament General de Protecció de Dades, a què tindran accés només les persones autoritzades, arreplega els processos afectats i els responsables corresponents. Tots els sistemes d’informació de Martínez Centro de Gestión, S.L. s’ajustaran als requisits de seguretat requerits per la normativa per a la naturalesa i finalitat de les dades de caràcter personal tractats.

8. GESTIÓ DE RISCOS

Tots els sistemes subjectes a esta Política hauran de realitzar una anàlisi de riscos, avaluant les amenaces i els riscos a què estan exposats. Esta anàlisi es repetirà:

  • Regularment, almenys una vegada a l’any.
  • Quan canvie la informació gestionada.
  • Quan canvien els servicis prestats.
  • Quan ocórrega un incident greu de seguretat.
  • Quan es reporten vulnerabilitats greus.

Per a l’harmonització de les anàlisis de riscos, el Comité de Seguretat de la Informació establirà una valoració de referència per als diferents tipus d’informació gestionada i els diferents servicis prestats. El Comité de Seguretat de la Informació dinamitzarà la disponibilitat de recursos per a atendre a les necessitats de seguretat dels diferents sistemes, promovent inversions de caràcter horitzontal.

9.DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ

Esta Política de Seguretat de la Informació complementa les polítiques de seguretat de Martínez Centro de Gestión S.L. en diferents matèries:

La llista protocols de seguretat que es tenen en compte és la següent:

  • Seqüència d’arrancada de servidors.
  • Instal·lació del gestor de cues.
  • Instal·lació de punts verds.
  • Alta i preparació de nou equip (equip intern i extern) i baixa equip.
  • Tasques automatitzades: còpia de fitxers. Amb explicació de les interdependències amb altres sistemes, ex. notificació.
  • Utilització dels recursos compartits.
  • Realització de còpies de seguretat i restauració (bases de dades, arxius i correu).
  • Configuració del correu electrònic.
  • Configuració de tallafocs i antivirus (informes de directives).
  • Compra de material.
  • Ús del correu electrònic.
  • Registres d’informació.
  • Gestió d’incidències.
  • Actuació per a corregir errors convencionals: 1) equivocació manual al passar el cobrament, 2) desfer el passe de tributària a recaptació, 3) anul·lar generació de notificacions.
  • Instruccions per a decidir quan es pot sol·licitar ajuda, qui i per quina via ha de sol·licitar (telefònica o per correu).
  • Destrucció de paper amb informació sensible.
  • Procediments de monitorització (ex. estat d’emmagatzemament).
  • Gestió de logs i de registres d’auditoria.

Esta Política es desenvoluparà per mitjà de normativa de seguretat que afronte aspectes específics. S’ha desenvolupatt un manual del sistema de gestió, amb una sèrie de procediments tècnics:

  • PT-01.- GESTIÓ TRIBUTÀRIA I RECAPTACIÓ.
  • PT-04.- GESTIÓ INTEGRAL DE MULTES AJ VALÈNCIA.
  • PT-06.- ORGANITZACIÓ DE LA SEGURETAT DE LA INFORMACIÓ.
  • PT-07.- SEGURETAT LLIGADA AL PERSONAL.
  • PT-08.- GESTIÓ D’ACTIUS.
  • PT-09.- CONTROL D’ACCÉS.
  • PT-10.- CRIPTOGRAFIA.
  • PT-11.- SEGURETAT FÍSICA I DE L’ENTORN.
  • PT-12.- SEGURETAT EN LES OPERACIONS.
  • PT-13.- SEGURETAT EN LES COMUNICACIONS.
  • PT-14.- ADQUISICIÓ, DESENVOLUPAMENT I MANTENIMENT DELS SISTEMES D’INFORMACIÓ.
  • PT-15.- RELACIÓ AMB PROVEÏDORS.
  • PT-16.- GESTIÓ D’INCIDENTS DE SEGURETAT DE LA INFORMACIÓ.
  • PT-17.- ASPECTES DE SEGURETAT DE LA INFORMACIÓ PER A LA GESTIÓ DE LA CONTINUÏTAT DE NEGOCI.
  • PT-18.- COMPLIMENT.

En el procediment tècnic PT-08 s’especifica la classificació de la informació, i en el P-01 s’especifica tot el control d’elaboració, revisió i aprovació de la documentació.

La normativa de seguretat estarà a disposició de tots els membres de l’organització que necessiten conéixer-la, en particular per a aquells que utilitzen, operen o administren els sistemes d’informació i comunicacions.

La normativa de seguretat estarà disponible en la intranet ISO EN Z:\GRUPOMCG i impresa a les Oficines C/Albacete, 10, al despatx del Gerent, i a l’oficina sítuada al C/Vicente Zaragozá, 34 – baix.

10. OBLIGACIONS DEL PERSONAL

Tots els membres de Martínez Centro de Gestión, S.L. tenen l’obligació de conéixer i complir esta Política de Seguretat de la Informació i la Normativa de Seguretat, sent responsabilitat del Comité de Seguretat de la Informació disposar els mitjans necessaris perquè la informació arribe als afectats.

Tots els membres de Martínez Centro de Gestión, S.L. atendran a una sessió de conscienciació en matèria de seguretat de la informació almenys una vegada a l’any. S’establirà un programa de conscienciació contínua per a atendre tots els membres de Martínez Centro de Gestión, S.L., en particular als de nova incorporació.

Les persones amb responsabilitat en l’ús, operació o administració de sistemes de la informació rebran formació per al tractament segur dels sistemes en la mesura que la necessiten per a realitzar el seu treball. La formació serà obligatòria abans d’assumir una responsabilitat, tant si és la seua primera assignació o si es tracta d’un canvi de lloc de treball o de responsabilitats en el mateix.

11. TERCERES PARTS

Quan Martínez Centro de Gestión, S.L. preste servicis a altres organismes o gestione informació d’altres organismes, se’ls farà partícips d’esta Política de Seguretat de la Informació, s’establiran canals per a report i coordinació dels respectius Comités de Seguretat i s’establiran procediments d’actuació per a la reacció davant d’incidents de seguretat.

Quan Martínez Centro de Gestión, S.L. utilitze servicis de tercers o cedisca informació a tercers, se’ls farà partícips d’esta Política de Seguretat i de la Normativa de Seguretat que afecte els  servicis o la esmentada informació. Aquesta tercera part quedarà subjecta a les obligacions establides en normativa, podent desenvolupar  els seus propis procediments operatius per a satisfer-la. S’establiran procediments específics de report i resolució d’incidències. Es garantirà que el personal de tercers està adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que l’establit en esta Política.

Quan algun aspecte de la Política no puga ser satisfet per una tercera part segons es requerix en els paràgrafs anteriors, es requerirà un informe del Responsable de Seguretat que precise els riscos en què s’incorre i la forma de tractar-los. Es requerirà l’aprovació d’este informe pels responsables de la informació i els servicis afectats abans de seguir endavant.