1 APROBACIÓN Y ENTRADA EN VIGOR
Texto aprobado el día 02 Junio de 2023 por el Comité de Seguridad.
Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
2 INTRODUCCIÓN
ANÁLISIS Y DESARROLLO DE SOFTWARE, S.L. depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 8 del ENS.
2.1 PREVENCIÓN
Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, los departamentos deben:
• Autorizar los sistemas antes de entrar en operación.
• Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
• Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
2.2 DETECCIÓN
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 10 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
2.3 RESPUESTA
Los departamentos deben:
• Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
• Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
• Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
2.4 CONSERVACIÓN
Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.
3 MISIÓN
La actividad de ANÁLISIS Y DESARROLLO DE SOFTWARE, S.L está orientada al diseño de sistemas, el desarrollo de aplicaciones, la instalación, la puesta a punto, el mantenimiento y la asistencia al cliente para equipos y sistemas de comunicaciones, detección, mando y control.
ANÁLISIS Y DESARROLLO DE SOFTWARE, S.L es consciente de la relevancia de una efectiva gestión de un Sistema de Seguridad de la Información, basado en los requisitos del Esquema Nacional de Seguridad.
En ANÁLISIS Y DESARROLLO DE SOFTWARE, S.L, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso expreso de protección de sus propiedades más significativas como parte de una estratégica orientada a la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad.
La Política de Seguridad se define como aquel conjunto de directrices plasmadas en documento escrito, que rigen la forma en que la organización gestiona y protege la información y los servicios que considera críticos.
4 ALCANCE
Esta política se aplica:
“El Sistema de Información que dan soporte al servicio IRPOL, sistema de gestión en movilidad para policías locales, de acuerdo a la Declaración de Aplicabilidad en vigor”.
5 MARCO NORMATIVO
• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos- RGPD).
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
• LSSI – Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
• UNE-ISO/IEC 27001 “Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información (SGSI). Requisitos”.
• ITS de Conformidad con el Esquema Nacional de Seguridad y del Informe del Estado de la Seguridad (BOE del 2 de noviembre de 2016): Instrucción técnica que establece los procedimientos para dar publicidad a la conformidad con el Esquema Nacional de Seguridad, así como los requisitos exigibles a las entidades certificadoras.
• Instrucción Técnica de Seguridad de Auditoría (BOE del 3 de abril de 2018): Instrucción técnica que establece las condiciones para la realización de las auditorías, ordinarias o extraordinarias, previstas en el artículo 34 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): Ley que adapta el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, completa sus disposiciones, y garantiza los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.
6 ORGANIZACIÓN DE SEGURIDAD
Los diferentes roles, incluyendo sus funciones y responsabilidades serán:
6.1 DEFINICIÓN DE COMITÉS Y ROLES UNIPERSONAL
• Comité de Seguridad de la Información (CSI)
• Responsable de Seguridad.
• Responsable del Sistema
• Responsable de la Información
• Responsable del Servicio
• Responsabilidades sobre la Protección de Datos Personales
6.2 FUNCIONES
• Comité de Seguridad de la Información (CSI).
El Comité de Seguridad de la Información es la máxima autoridad del SGSI (Sistema de Gestión de la Seguridad de la Información) que coordina la Seguridad de la Información a nivel de organización y tiene la responsabilidad de tomar las decisiones finales sobre el establecimiento, implantación, mantenimiento y mejora del Sistema de Seguridad de la Información.
El Comité está formado por:
• La directora.
• El Responsable de Seguridad.
• El Responsable del Sistema.
El Comité de Seguridad de la Información puede invitar a sus reuniones a otra personas, entre otros al Responsable del SGPD u otros.
• Responsable de Seguridad.
Es la persona designada por el Comité de Seguridad, encargada de coordinar las actividades relacionadas con la obtención, tratamiento, almacenamiento y salvaguarda de la información. Reporta directamente al Comité de Seguridad. También nombrado como Responsable del SGSI.
• Responsable del Sistema
El Responsable del Sistema reportará, en materia de seguridad, al Responsable de la Seguridad.
• Responsabilidades sobre la Protección de Datos Personales
Sus funciones están definidas en el Sistema de Gestión de Protección de Datos.
• Responsable de la Información
Funciones asumidas por el Comité de Seguridad como órgano colegiado.
• Responsable del Servicio
Funciones asumidas por el Comité de Seguridad como órgano colegiado.
6.3 RESPONSABILIDADES
• Comité de Seguridad de la Información (CSI)
• Definir, aprobar, implementar y control continuado de:
• La Política de Seguridad de la Información y sus objetivos.
• Aprobar los criterios de apreciación y aceptación de los riesgos de Seguridad de la Información.
• Niveles y perfiles de riesgo aceptables (riesgo residual).
• Planes de actuación vigentes en cada momento.
• Aprobar las acciones que se consideren oportunas ante modificaciones consideradas significativas en la valoración/apreciación de riesgos de los Activos de la entidad.
• Revisar y aprobar los documentos “Contexto para el SGSI” y el “Manual del SGSI”.
• Revisar el análisis de incidencias de Seguridad del Sistema.
• Promover la mejora continua del SGSI.
• Aprobar el Informe de Revisión del SGSI.
• Asume la función de Responsable de la Información (como órgano colegiado).
• Asume la función de Responsable del Servicio (como órgano colegiado).
• Responsable de Seguridad (Responsable del SGSI)
• El responsable de la Seguridad de la Información es la persona que se va a encargar de coordinar y aprobar todas las actuaciones en materia de seguridad dentro IRANON, de acuerdo a lo establecido en la Política de Seguridad de la Información.
• Convocar al Comité de Seguridad.
• Impulsar la cultura en Seguridad de la Información, gestionando y promoviendo la formación y concienciación en materia de seguridad.
• Establecer los requisitos de la información en materia de seguridad, esto es, determinar los niveles de Seguridad de la Información.
• Participar en la categorización de los sistemas y el análisis de riesgos.
• Resolver discrepancias y problemas que puedan surgir en la gestión de la seguridad.
• Mantener el nivel adecuado de Seguridad de la Información manejada y de los servicios prestados por los sistemas.
• Revisar y aprobar toda la documentación relacionada con la Seguridad del Sistema.
• Realizar o promover las auditorías periódicas para verificar el cumplimiento de los requisitos del mismo, así como realizar el seguimiento de las acciones correctivas y de mejora que se establezcan para resolver las desviaciones detectadas.
• Acompañar y facilitar a los auditores de certificación el acompañamiento por las instalaciones y el apoyar en la localización de documentación y registros del SGSI.
• Determinar las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de la información y de los servicios.
• Determinar las excepciones cuando lo justifiquen las exigencias de proporcionalidad en cuanto a los riesgos asumidos en la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
• Aprobar la Declaración de Aplicabilidad. Las medidas de seguridad referenciadas en el Anexo II podrán ser reemplazadas por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos (Anexo I) y se satisfacen los principios básicos y los requisitos mínimos previstos en los capítulos II y III del real decreto.
• Analizar los informes de autoevaluación y/o los informes de auditoría y elevar las conclusiones al Responsable del Sistema para que adopte las medidas correctoras adecuadas.
• Responsable del Sistema
• Operar el sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de la Seguridad.
• Analizar las conclusiones del Responsable de la Seguridad sobre los informes de autoevaluación y/o los informes de auditoría para adoptar las medidas correctoras adecuadas.
• (Sólo en el caso de sistema de categoría ALTA) Visto el dictamen de auditoría, acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.
• Responsable de la Información
• Determinar los requisitos (de seguridad) de la información tratada.
• Aprobar los niveles de seguridad de la información.
• Valorar las consecuencias de un impacto negativo sobre la seguridad de la información, atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de las personas.
• Responsable del Servicio
• Determinar los requisitos (de seguridad) de los servicios prestados.
• Aprobar los niveles de seguridad de los servicios.
• Definir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
• Valorar las consecuencias de un impacto negativo sobre la seguridad de los servicios, atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de las personas.
• Responsabilidades sobre la Protección de Datos Personales
Sus responsabilidades están definidas en el Sistema de Gestión de Protección de Datos.
6.4 PROCEDIMIENTOS DE DESIGNACIÓN DE PERSONAS
Es función de la Dirección de la entidad designar:
• Al Responsable de la Información, que puede ser un cargo unipersonal o un órgano colegiado (por ejemplo el Comité de Seguridad de la Información).
• Al Responsable del Servicio, que puede ser un cargo unipersonal o un órgano colegiado (por ejemplo el Comité de Seguridad de la Información).
• A los miembros del Comité de Seguridad de la Información.
• Al Responsable de la Seguridad, que reporta directamente al Comité de Seguridad de la Información.
• Al Responsable del Sistema, que, en materia de seguridad, reporta al Responsable de la Seguridad. Esta designación podrá ser:
El nombramiento de los responsables mencionados se hará con carácter de formal.
6.5 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Será misión del Comité de Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por el Comité de Seguridad de la Información y difundida para que la conozcan todas las partes afectadas.
7 DATOS DE CARÁCTER PERSONAL
ANÁLISIS Y DESARROLLO DE SOFTWARE, S.L trata datos de carácter personal según lo especifico en la RGPD del 14 de abril de 2016. Se han creado diferentes registros de tratamiento de datos, al que tendrán acceso sólo las personas autorizadas, donde se recogen los diferentes tratamientos de los datos de carácter personal y su ciclo del dato, así como los responsables correspondientes. Todos los sistemas de información de IRANON se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en los tratamiento de datos y en el análisis de riesgos de cada uno de los tratamientos.
8 CONCIENCIACIÓN Y FORMACIÓN
ANÁLISIS Y DESARROLLO DE SOFTWARE, S.L tiene como objetivo lograr la plena conciencia respecto a que la seguridad de la información afecta a todos los miembros de la organización y a todas las actividades, de acuerdo al principio de Seguridad como proceso Integral recogido en el Artículo 5 del ENS, así como la articulación de los medios necesarios para que todas las personas que intervienen en el proceso y sus responsables jerárquicos tengan una sensibilidad hacia los riesgos que se corren.
9 GESTIÓN DE RIESGOS
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
• regularmente, al menos una vez al año
• cuando cambie la información manejada
• cuando cambien los servicios prestados
• cuando ocurra un incidente grave de seguridad
• cuando se reporten vulnerabilidades graves
Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
10 OBLIGACIONES DEL PERSONAL
Todos los miembros de ANÁLISIS Y DESARROLLO DE SOFTWARE, S.L dentro del alcance de esta política tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de ANÁLISIS Y DESARROLLO DE SOFTWARE, S.L dentro del alcance de esta política atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de ANÁLISIS Y DESARROLLO DE SOFTWARE, S.L dentro del alcance de esta política, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
11 TERCERAS PARTES
Cuando ANÁLISIS Y DESARROLLO DE SOFTWARE, S.L preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando ANÁLISIS Y DESARROLLO DE SOFTWARE, S.L utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.