Política de Seguretat de la Informació

Martínez Centro de Gestión, S.L. – Política de segureta de la informació

Martínez Centro de Gestión S.L.

1.  APROVACIÓ I ENTRADA EN VIGOR

Text aprovat el dia 8 de gener de 2.024 per la Comissió de Seguretat de la Informació.

Esta Política se seguretat de la Informació és efectiva des d’esta data i fins que siga reemplaçada per una nova Política.

Este text deriva de l’anterior, que va ser aprovat el dia 2 de novembre de 2.022 per l’Alta Direcció.

2.  INTRODUCCIÓ

 Martínez Centro de Gestión, S.L. depén dels sistemes TIC (Tecnologies d’Informació i Comunicacions) per a aconseguir els seus objectius. Estos sistemes han de ser administrats amb diligència, prenent les mesures adequades per a protegir-los enfront de danys accidentals o deliberats que puguen afectar la disponibilitat, integritat o confidencialitat de la informació tractada o els servicis prestats.

L’objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels servicis, actuant preventivament, supervisant l’activitat diària i reaccionant amb prestesa als incidents.

Els sistemes TIC han d’estar protegits contra amenaces de ràpida evolució amb potencial per a incidir en la confidencialitat, integritat, disponibilitat, ús previst i valor de la informació i els servicis. Per a defendre’s d’estes amenaces, es requerix una estratègia que s’adapte als canvis en les condicions de l’entorn per a garantir la prestació contínua dels servicis. Això implica que els departaments han d’aplicar les mesures mínimes de seguretat exigides per l’Esquema Nacional de Seguretat i la norma ISO 27001 de Sistemes de Seguretat de la Informació, així com realitzar un seguiment continu dels nivells de prestació de servicis, seguir i analitzar les vulnerabilitats reportades, i preparar una resposta efectiva als incidents per a garantir la continuïtat dels servicis prestats.

Els diferents departaments han de cerciorar-se que la seguretat de la informació és una part integral de cada etapa del cicle de vida del sistema, des de la seua concepció fins a la seua retirada de servici, passant per les decisions de desenrotllament o adquisició i les activitats d’explotació. Els requisits de seguretat i les necessitats de finançament han de ser identificats i inclosos en la planificació, en la sol·licitud d’ofertes, i en plecs de licitació per a projectes relacionats amb l’Administració Pública.

Els departaments han d’estar preparats per a la prevenció, detecció, resposta i conservació, d’acord amb l’Article 8 de l’ENS.

  • PREVENCIÓ

Els departaments han d’evitar, o almenys previndre en la mesura que siga possible, que la informació o els servicis es vegen perjudicats per incidents de seguretat. Per a això els departaments han d’implementar les mesures mínimes de seguretat determinades per l’ENS, així com qualsevol control addicional identificat a través d’una avaluació d’amenaces i riscos, i tots els requisits necessaris per a donar compliment a la norma ISO 27001. Estos controls, i els rols i responsabilitats de seguretat de tot el personal, han d’estar clarament definits i documentats.

Per a garantir el compliment de la política, els departaments deuen:

  • Autoritzarelssistemesabansd’entraren operació.
  • Avaluarregularmentlaseguretat,incloent-hiavaluacionsdelscanvisdeconfiguraciórealitzatsdemanerarutinària.
  • Sol·licitarlarevisióperiòdicaperpartdetercersamblafinalitatd’obtindreunaavaluació

2.1.   PREVENCIÓ

Els departaments han d’evitar, o almenys previndre en la mesura que siga possible, que la informació o els servicis es vegen perjudicats per incidents de seguretat. Per a això els departaments han d’implementar les mesures mínimes de seguretat determinades per l’ENS, així com qualsevol control addicional identificat a través d’una avaluació d’amenaces i riscos, i tots els requisits necessaris per a donar compliment a la norma ISO 27001. Estos controls, i els rols i responsabilitats de seguretat de tot el personal, han d’estar clarament definits i documentats.

Per a garantir el compliment de la política, els departaments deuen:

  • Autoritzarelssistemesabansd’entraren operació.
  • Avaluarregularmentlaseguretat,incloent-hiavaluacionsdelscanvisdeconfiguraciórealitzatsdemanerarutinària.
  • Sol·licitarlarevisióperiòdicaperpartdetercersamblafinalitatd’obtindreunaavaluació

2.2.   DETECCIÓ

Atés que els servicis es poden degradar ràpidament a causa d’incidents, que van des d’una simple desacceleració fins a la seua detenció, els servicis han de monitorar l’operació de manera contínua per a detectar anomalies en els nivells de prestació dels servicis i actuar en conseqüència segons el que s’establix en l’Article 9 de l’ENS.

El monitoratge és especialment rellevant quan s’establixen línies de defensa d’acord amb l’Article 8 de l’ENS. S’establiran mecanismes de detecció, anàlisi i reporte que arriben als responsables regularment i quan es produïx una desviació significativa dels paràmetres que s’hagen preestablit com a normals.

2.3.   RESPOSTA

 Els departaments deuen:

Establir mecanismes per a respondre eficaçment als incidents de seguretat.

Designar punt de contacte per a les comunicacions respecte a incidents detectats en altres departaments o en altres organismes.

Establir protocols per a l’intercanvi d’informació relacionada amb l’incident. Això inclou comunicacions, en tots dos sentits, amb els Equips de Resposta que s’especifiquen en el Pla de Continuïtat de Negoci.

2.4.   RECUPERACIÓ

Per a garantir la disponibilitat dels servicis crítics, l’organització s’ha dotat d’un pla general de continuïtat de negoci, valorant els possibles escenaris de desastre i estratègies de recuperació, i establint plans d’emergència que es revisen periòdicament.

3.  ALCANÇ

Esta política s’aplica a tots els sistemes d’informació de Martínez Centro de Gestión, S.L., tant en el seu vessant tecnològic com d’organització, i a tots els membres de l’organització, sense excepcions.

4.  MISIÓ I OBJETIUS MARC

 S’han establit els següents objectius marc:

  • Establiruncompromísdemilloracontínuadel SGSI
  • Assegurarelcomplimentdelsrequisitslegals,regulacions,llicències,contractesielsacordspactatsambelsclients
  • Millorarcontínuamentelfuncionamentoperatiuinterntantdesdel’estudidelnostrecontextcomelsrequisitsdelesnostrespartsinteressadesielsresultatsdelnostresistemadegestió,comproactivamentatravésd’avaluarriscosioportunitatsqueensimpulsenaccionsde
  • Sotmetreelsnostresactiusd’informacióaanàlisideriscos contínuament
  • Garantirquelainformaciótractadanomésseràutilitzadaperalspropòsitsoriginalsisotalasupervisiódel’empresa,assignantunpropietariperacadasistemad’informació
  • Conscienciantiformantalpersonalsobrelaimportànciadelaseguretatdelainformació.

5.  MARC NORMATIU

Guies presents en el Control de Guies Aplicables de l’empresa. Legislació present en el Control de Legislació Aplicable de l’empresa.

I a més, voluntàriament se supediten els sistemes a l’ISO 27001.

6.  ORGANITZACIÓ DE LA SEGURETAT

  • COMITÉS: FUNCIONS I RESPONSABILITATS

El Comité de Seguretat de la Informació estarà format pel responsable de seguretat, la responsable de qualitat i medi ambient i el gerent.

Atés que Martínez Centro de Gestión, S.L. és una empresa de dimensions reduïdes els rols i responsabilitats s’han adaptat a una estructura intermèdia:

  • direcció,queintegralessegüents funcions:
    • responsableenmatèriadeproteccióde dades
    • responsable d’informació
    • responsabledel servici
  • Capd’Informàticaiseguretat,reportantadirecció,assumixlafunció de:
    • responsablede seguretat
  • Capsd’àrea,reportantadirecció,queassumixlafunció de:
    • responsabledel sistema
  • elsresponsablesd’informàtica(programació,multesigestiótributària),assumixenlafuncióde:
    • administradorde seguretat

El Comité de Seguretat de la Informació tindrà les següents funcions:

  • AtendrelesinquietudsdelaDireccióidelsdiferents
  • Promourelamilloracontínuadelsistemadegestiódelaseguretatdelainformació.
  • Elaborarl’estratègiad’evoluciódel’Organitzaciópelquefaaseguretatdelainformació.
  • Coordinarelsesforçosdelesdiferentsàreesenmatèriadeseguretatdelainformació,peraassegurarqueelsesforçossónconsistents,alineatsambl’estratègiadecididaenlamatèria,ievitar
  • Elaborar(irevisarregularment)laPolíticadeSeguretatdelainformacióperquèsigaaprovadaperlaDirecció.
  • Aprovarlanormativadeseguretatdela informació.
  • Elaborariaprovarelsrequisitsdeformacióiqualificaciód’administradors,operadorsiusuarisdesdelpuntdevistadeseguretatdelainformació.
  • Monitorarelsprincipalsriscosresidualsassumitsperl’Organitzacióirecomanarpossiblesactuacionsrespected’ells.
  • Monitorarl’acomplimentdelsprocessosdegestiód’incidentsdeseguretatirecomanarpossiblesactuacionsrespected’ells.Enparticular,vetlarperlacoordinaciódelesdiferentsàreesdeseguretatenlagestiód’incidentsdeseguretatdelainformació.
  • Promourelarealitzaciódelesauditoriesperiòdiquesquepermetenverificarelcomplimentdelesobligacionsdel’organismeenmatèriade
  • Aprovarplansdemilloradelaseguretatdelainformaciódel’Organització.Enparticularvetlaràperlacoordinaciódediferentsplansquepuguenrealitzar-seendiferentsàrees.
  • Prioritzarlesactuacionsenmatèriadeseguretatquanelsrecursossiguen
  • Vetlarperquèlaseguretatdelainformacióestingaencompteentotselsprojectesperal’AdministracióPúblicadesdelaseuaespecificacióinicialfinsalaseuaposadaenoperació.Enparticularhauràdevetlarperlacreacióiutilitzaciódeservicishoritzontalsquereduïsquenduplicitatsidonensuportaunfuncionamenthomogenidetotselssistemesd’informació.
  • Resoldreelsconflictesderesponsabilitatquepuguenaparéixerentreelsdiferentsresponsablesi/oentrediferentsàreesdel’Organització.Enel

cas de no poder resoldre un conflicte en este àmbit, es recorrerà al Comité de Direcció.

  • Vetlarpelcomplimentdelanormativad’aplicaciólegal,reguladorai
  • Constituir-secomaComitédeCrisi,amblafinalitatdecoordinarl’aplicaciódelPladeContinuïtat,quansiga
  • Realitzarunarevisiódel’estatdeseguretatdel’empresaidelspossiblesincidents,apartirdel’informeanualdeRevisióperDirecció,reméspelresponsablede
  • Aprovarelresultatdel’anàlisideriscos,iestablirelriscresidualacceptable,aixícomelsplansdetractamentdelsriscosimportantso

6.2.   ROLS: FUNCIONS i RESPONSABILITATS

 Direcció:

  • LaDireccióésresponsabled’organitzarlesfuncionsiresponsabilitats,lapolíticadeseguretatdel’Organisme,idefacilitarelsrecursosadequatsperaaconseguirelsobjectiusproposats
  • ElsmembresdelaDireccióhandedonarbonexempleenelcomplimentdelesnormesdeseguretat
  • Aprovarlanormativade seguretat
  • Aprovarelsprocedimentsoperatiusde seguretat
  • Aprovarelsplansde continuïtat
  • Enelcasquehihajaunconflicteiladecisiódelcomitédeseguretatnosigaacceptadaperalgunadelesparts,esrecorreràaladirecciódel’empresaperadeterminarlesactuacionsaseguirencada

El Responsable de Seguretat és designat per Direcció, i les seues funcions i responsabilitats són:

  • Mantindrelaseguretatdelainformaciómanejadaieldelsservicisprestatspelssistemesd’informacióenelseuàmbitderesponsabilitat,d’acordambelques’establixenlaPolíticadeSeguretatdelaInformació.
  • Promourelaformacióiconscienciacióenmatèriadeseguretatdelainformaciódinsdelseuàmbitderesponsabilitat
  • RealitzarlesfuncionsdeSecretaridelComitédeSeguretatdela Informació
  • Determinaciódelacategoriadel sistema
  • Realitzarlesanàlisisderiscosiproposarelsplansde tractament
  • Realitzarladeclaració d’aplicabilitat
  • Considerarmesuresdeseguretat addicionals
  • Elaborarimantindreladocumentaciódeseguretatdel sistema
  • Elaborarlanormativade seguretat
  • Proposarelsprocedimentsoperatiusde seguretat
  • Reportarl’estatdeseguretatdel sistema
  • Elaborarelsplansdemilloradela seguretat
  • Elaborarelsplansdeconscienciaciói formació
  • Proposarelsplansde continuïtat
  • Aprovarelcicledevidadelsdesenrotllamentsdeprogramari:especificació,arquitectura,desenrotllament,operacióicanvis

Caps d’àrea

  • OperarimantindreelSistemad’Informacióduranttotelseucicledevida,delesseuesespecificacions,instal·lacióiverificaciódelseucorrecte
  • Col·laborarenladefiniciódelatopologiaisistemadegestiódelSistemad’Informacióestablintelscriterisd’úsielsservicisdisponiblesen
  • Cerciorar-sequelesmesuresespecífiquesdeseguretats’integrenadequadamentdinsdelmarcgeneralde
  • ElResponsabledelSistemapotacordarlasuspensiódelmaneigd’unacertainformacióolaprestaciód’uncertservicisiésinformatdedeficiènciesgreusdeseguretatquepoguerenafectarlasatisfacciódels  requisits establits. Esta decisió ha de ser acordada amb els responsables de la informació afectada, del servici afectat i el Responsable de la Seguretat, abans de ser executades

Responsables d’informàtica

  • Laimplementació,gestióimantenimentdelesmesuresdeseguretataplicablesalSistemad’Informació.
  • Lagestió,configuracióiactualització,siéselcas,delmaquinariiprogramarienelsqualsesbasenelsmecanismesiservicisdeseguretatdelSistemad’Informació.
  • Lagestiódelesautoritzacionsconcedidesalsusuarisdelsistema,enparticularelsprivilegisconcedits,incloent-hielmonitoratgequel’activitatdesenrotlladaenelsistemas’ajustaal’autoritzat.
  • L’aplicaciódelsProcedimentsOperatiusde
  • ProposarcanvisenlaconfiguracióvigentdelSistemad’InformacióalComitédeSeguretat,d’acordambelresponsablede
  • Assegurarqueelscontrolsdeseguretatestablitssóncomplits
  • Assegurarquesónaplicatselsprocedimentsaprovatsperamanejarelsistemad’informació.
  • Supervisarlesinstal·lacionsdemaquinariiprogramari,lesseuesmodificacionsimilloresperaassegurarquelaseguretatnoestàcompromesaiqueentotmoments’ajustenalesautoritzacions
  • Monitorarl’estatdeseguretatdelsistemaproporcionatperlesferramentesdegestiód’esdevenimentsdeseguretatimecanismesd’auditoriatècnicaimplementatsenel
  • InformarelsResponsablesdelaSeguretatidelSistemadequalsevolanomalia,compromísovulnerabilitatrelacionadaambla
  • Col·laborarenlainvestigacióiresoluciód’incidentsdeseguretat,desdelaseuadetecciófinsalaseuaresolució.

6.3.   PROCEDIMIENTS DE DESIGNACIÓ

El Responsable de Seguretat de la Informació serà nomenat per Direcció a proposta del Comité de Seguretat de la Informació.

Direcció designarà als Responsables de Sistema i als Administradors de Seguretat, precisant les seues funcions i responsabilitats dins del marc establit per esta Política.

Estos nomenaments es revisaran cada any o quan algun dels llocs quede vacant.

6.4.   POLÍTICA DE SEGURETAT DE LA INFORMACIÓ

 Serà missió del Comité de Seguretat de la Informació la revisió anual d’esta Política de Seguretat de la Informació i la proposta de revisió o manteniment d’esta. La Política serà aprovada per la Direcció de l’empresa i difosa perquè la coneguen totes les parts afectades, i posada a disposició a través de la web de l’empresa.

7.  DADES DE CARÀCTER PERSONAL

 Martínez Centro de Gestión, S.L. tracta dades de caràcter personal. El document de seguretat adaptat al Reglament General de Protecció de Dades, al qual tindran accés només les persones autoritzades, arreplega els processos afectats i els responsables corresponents. Tots els sistemes d’informació de Martínez Centro de Gestión, S.L. s’ajustaran als requisits de seguretat requerits per la normativa per a la naturalesa i finalitat de les dades de caràcter personal tractats.

8.  GESTIÓ DE RISCOS

Tots els sistemes subjectes a esta Política hauran de realitzar una anàlisi de riscos, avaluant les amenaces i els riscos als quals estan exposats. Esta anàlisi es repetirà: regularment, almenys una vegada a l’any quan canvie la informació manejada quan canvien els servicis prestats quan ocórrega un incident greu de seguretat quan es reporten vulnerabilitats greus.

Per a l’harmonització de les anàlisis de riscos, el Comité de Seguretat de la Informació establirà una valoració de referència per als diferents tipus d’informació manejats i els diferents servicis prestats. El Comité de Seguretat de la Informació dinamitzarà la disponibilitat de recursos per a atendre les necessitats de seguretat dels diferents sistemes, promovent inversions de caràcter horitzontal.

9.    DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ

Esta Política de Seguretat de la Informació complementa les polítiques de seguretat de Martínez Centro de Gestión, S.L. en diferents matèries:

La llista protocols de seguretat que es tenen en compte és la següent:

  • Seqüènciad’arrancadade servidors
  • Instal·laciódelgestorde cues
  • Instal·laciódepunts verds
  • Altaipreparaciódenouequip(equipinterniextern)ibaixa equipe
  • Tasquesautomatitzades:còpiadeAmbexplicaciódelesinterdependènciesambaltressistemes,ex.notificació.
  • Utilitzaciódelsrecursos compartits
  • Realitzaciódecòpiesdeseguretatirestauració(basesdedades,arxiusicorreu)
  • Configuraciódelcorreu electrònic
  • Configuraciódetallafocsiantivirus(informesde directives)
  • Comprade material
  • Úsdelcorreu electrònic
  • Registres d’informació
  • Gestió d’incidències
  • Actuacióperacorregirerrorsconvencionals:1)equivocaciómanualenpassarelcobrament,2)desferlapassadadetributàriaarecaptació,3)anul·largeneraciódenotificacions
  • Instruccionsperadecidirquanespotsol·licitarajuda,quiiperquinavias’hadesol·licitar(telefònicaopercorreu)
  • Destrucciódepaperambinformació sensible
  • Procedimentsdemonitoratge(ex.estat d’emmagatzematge)
  • Gestióde*logsideregistres d’auditoria

Esta Política es desenrotllarà per mitjà de normativa de seguretat que afronte aspectes específics. S’ha desenrotllat un manual del sistema de gestió, amb una sèrie de procediments tècnics_

  • PT-01.-GESTIÓTRIBUTÀRIAI RECAPTACIÓ
  • PT-04.-GESTIÓINTEGRALDEMULTESAYTO VALÈNCIA
  • PT-06.-ORGANITZACIÓDELASEGURETATDELA INFORMACIÓ
  • PT-07.-SEGURETATLLIGADAAL PERSONAL
  • PT-08.-GESTIÓ D’ACTIUS
  • PT-09.-CONTROL D’ACCÉS
  • PT-10.- CRIPTOGRAFIA
  • PT-11.-SEGURETATFÍSICAIDE L’ENTORN
  • PT-12.-SEGURETATENLES OPERACIONS
  • PT-13.-SEGURETATENLES COMUNICACIONS
  • PT-14.-ADQUISICIÓ,DESENROTLLAMENTIMANTENIMENTDELSSISTEMESD’INFORMACIÓ
  • PT-15.-RELACIÓAMB PROVEÏDORS
  • PT-16.-GESTIÓD’INCIDENTSDESEGURETATDELA INFORMACIÓ
  • PT-17.-ASPECTESDESEGURETATDELAINFORMACIÓPERALAGESTIÓDELACONTINUÏTATDENEGOCI
  • PT-18.- COMPLIMENT

En el procediment tècnic PT-08 s’especifica la classificació de la informació, i en el P-01 s’especifica tot el control d’elaboració, revisió i aprovació de la documentació.

La normativa de seguretat estarà a la disposició de tots els membres de l’organització que necessiten conéixer-la, en particular per a aquells que utilitzen, operen o administren els sistemes d’informació i comunicacions.

La normativa de seguretat estarà disponible en la intranet ISO EN Z:\GRUPOMCG i impresa en Oficines C/Albacete, 10, en el despatx del Gerent, i en l’oficina situada en C/Vicente Zaragozá, 34 – baix

10.  OBLIGACIONS DEL PERSONAL

Tots els membres de Martínez Centro de Gestión, S.L. tenen l’obligació de conéixer i complir esta Política de Seguretat de la Informació i la Normativa de Seguretat, sent responsabilitat del Comité de Seguretat de la Informació disposar els mitjans necessaris perquè la informació arribe als afectats.

Tots els membres de Martínez Centro de Gestión, S.L. atendran una sessió de conscienciació en matèria de seguretat de la informació almenys una vegada a l’any. S’establirà un programa de conscienciació contínua per a atendre a tots els membres de Martínez Centro de Gestión, S.L., en particular als de nova incorporació.

Les persones amb responsabilitat en l’ús, operació o administració de sistemes de la informació rebran formació per al maneig segur dels sistemes en la mesura en què la necessiten per a fer el seu treball. La formació serà obligatòria abans d’assumir una responsabilitat, tant si és la seua primera assignació o si es tracta d’un canvi de lloc de treball o de responsabilitats en este.

11.  TERCERES PARTS

Quan Martínez Centro de Gestión, S.L. preste servicis a altres organismes o manege informació d’altres organismes, se’ls farà partícips d’esta Política de Seguretat de la Informació, s’establiran canals per a reporte i coordinació dels respectius Comités de Seguretat i s’establiran procediments d’actuació per a la reacció davant incidents de seguretat.

Quan Martínez Centro de Gestión, S.L. utilitze servicis de tercers o cedisca informació a tercers, se’ls farà partícips d’esta Política de Seguretat i de la Normativa de Seguretat que concernisca a estos servicis o informació. Felicitat tercera part quedarà subjecta a les obligacions establides en esta normativa, podent desenrotllar els seus propis procediments operatius per a satisfer-la. S’establiran procediments específics de reporte i resolució d’incidències. Es garantirà que el personal de tercers està adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que l’establit en esta Política.

Quan algun aspecte de la Política no puga ser satisfet per una tercera part segons es requerix en els paràgrafs anteriors, es requerirà un informe del Responsable de Seguretat que precise els riscos en què s’incorre i la manera de tractar-los. Es requerirà l’aprovació d’este informe pels responsables de la informació i els servicis afectats abans de seguir #avant.

Direcció

Aprovat

Antonio Martínez