1. REVISIÓN Y APROBACIÓN DE LA POLÍTICA DE SEGURIDAD

Esta “Política de Seguridad de la Información” es efectiva desde su entrada en vigor el día 16 de septiembre de 2021 por GEMED SOLUCIONES.

Fecha de última revisión y aprobación 30 de noviembre del 2022.

La Política es revisada por el Comité de Seguridad de la Información a intervalos planificados, sin exceder el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

Los cambios sobre la Política de Seguridad de la Información serán aprobados por el Comité de Seguridad de la Información y la Dirección, de acuerdo con el artículo 12 del BOE. Cualquier cambio sobre la misma deberá ser difundido para que la conozcan todas las partes afectadas.

La dirección de la empresa, es consciente del valor de la información y está profundamente comprometida con la política descrita en este documento.

  1. INTRODUCCIÓN

Este documento expone la Política de Seguridad de la Información de GEMED SOLUCIONES para el departamento de Seguridad y TIC, como el conjunto de principios básicos y líneas de actuación a los que la organización se compromete, en el marco del Esquema Nacional de Seguridad (en lo adelante ENS). El Real Decreto 311/2022, del 3 de mayo, en el artículo 12 del BOE establece la Política como el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta.

El objetivo de la seguridad de la información es garantizar la protección de los sistemas, la calidad de la información, la continuidad del negocio, actuando preventivamente para minimizar los riesgos, supervisando la actividad diaria, reaccionando con presteza a los incidentes, permitiendo maximizar el retorno de las inversiones y las oportunidades de negocio.

La seguridad de la información es un proceso que requiere medios técnicos, humanos, una adecuada gestión y definición de los procedimientos; donde es fundamental la máxima colaboración e implicación de todo el personal de la empresa.

La empresa depende de la información y de los sistemas de Tecnologías de Información y Comunicaciones (TIC) para alcanzar sus objetivos. Estos sistemas deben ser administrados con presteza, tomando las medidas de seguridad adecuadas para proteger los soportes, medios de transmisión, sistemas, o personas que intervengan en su tratamiento que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información y los servicios.

Los departamentos deben contrastar que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación y en la solicitud de propuestas a proveedores para proyectos TIC.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución que incide en la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que el departamento de Seguridad y TIC debe realizar un seguimiento continuo de los niveles de prestación de servicios, analizar las vulnerabilidades reportadas y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios.

  1. ALCANCE

Esta política se aplica a todos los sistemas TIC de GEMED SOLUCIONES y a todos los miembros del departamento de Seguridad y TIC.

GEMED SOLUCIONES cuenta con un alcance de la norma ISO/IEC 27001: “Sistema de gestión de seguridad de la información que da soporte a los servicios de consultoría en seguridad, ciberseguridad y energía, servicios de centro de operaciones de seguridad (SOC) como equipo de respuestas a incidentes de seguridad (CSIRT) y compra venta de precintos de seguridad de acuerdo con la declaración de aplicabilidad versión 22/06.”

Existen algunos sistemas de información que no están afectados por el alcance del ENS, pero sí están en el alcance de la ISO/IEC 27001. Dicho alcance cubre todas las áreas de la empresa, sin embargo, por decisión estratégica de la organización se requiere certificar en el ENS los servicios ofrecidos exclusivamente por el Departamento de Seguridad y TIC. Quedan excluidos del alcance de ENS los servicios de consultoría en energía y la compra venta de precintos de seguridad.

La política de Seguridad de la Información se ha llevado a cabo sobre el alcance del ENS definido por la organización:

“Los Sistema de Información que dan soporte a la prestación de los servicios a las organizaciones públicas y privadas:

  • Consultoría e implantación de ciberseguridad, cumplimiento normativo, ENS, estándares de seguridad de la información, continuidad de negocio y normativa vigente en materia de protección de datos de carácter personal.
  • Servicio de entrenamiento y concienciación en seguridad de la información.
  • Monitorización, Operación y Administración remota de Sistemas, SOC/CSIRT, ciberseguridad gestionada y hacking ético.

Según el documento de categorización vigente del sistema.”

  1. MISIÓN

El propósito de esta Política de Seguridad de la Información es proteger la información de los servicios de GEMED SOLUCIONES.

  • El Plan Director de Seguridad de la Información (PDSI): consiste en la definición y priorización de un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial. Permite incorporar el pilar seguridad de la información al plan de transformación digital. Se desarrollan políticas, procedimientos según las necesidades específicas de cada compañía. Proporciona una base sólida y objetiva, para planificar y priorizar las inversiones en materia de seguridad de la información.
  • La Plataforma de Entrenamiento y Concienciación de la Información: es una solución dotada de herramientas especializadas dirigidas a mejorar los hábitos, el nivel formativo y de concienciación de los empleados, permitiendo elevar los niveles de seguridad para combatir las amenazas y vulnerabilidades.
  • La Evaluación del Coeficiente de Seguridad Organizacional (CSO): analiza detalladamente la superficie de exposición de una compañía según su actividad, de esta manera se obtiene una visión global del estado de la seguridad de la empresa. Esto permitirá diseñar la estrategia más adecuada y desarrollar las medidas dirigidas a prevenir fugas de información externas e internas.
  • La Monitorización y Gestión de Seguridad: Security Operation Center (SOC) pone a disposición de los clientes un servicio de monitorización y respuesta a incidentes que libera a las organizaciones de disponer de perfiles técnicos tan especializados y en número suficiente para realizar esta tarea por sí mismos.
  • El Red Team: es un equipo conformado por especialistas ingenieros en ciberseguridad que simularán un agente hostil, ya sea externo o interno, con la finalidad de interrumpir operativas, extorsionar, robar datos o efectuar fraudes de forma controlada. Multiplicando la visibilidad de todo lo que no ven sus sistemas de seguridad y alertas actuales; mediante Auditorías WhiteBox, Auditorías BlackBox, Pentesting, Análisis forense y Test de seguridad perimetral.
  1. MARCO NORMATIVO

La base normativa que afecta al desarrollo de las actividades y competencias de GEMED SOLUCIONES, que implica la implantación de forma explícita de medidas de seguridad en los sistemas de información y está constituida por la siguiente legislación:

  • Real Decreto por el que se regula el Esquema Nacional de Seguridad.
  • Real Decreto por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, cuya finalidad es la creación de las condiciones necesarias para garantizar el adecuado nivel de interoperabilidad técnica, semántica y organizativa de los sistemas y aplicaciones empleados por las Administraciones públicas, que permita el ejercicio de derechos y el cumplimiento de deberes a través del acceso electrónico a los servicios públicos, a la vez que redunda en beneficio de la eficacia y la eficiencia.
  • Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.
  • Reglamento (UE) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Conocido como Reglamento general de protección de datos (RGPD).
  • UNE-EN ISO/IEC 27001 es idéntica a la norma internacional ISO/IEC 27001.Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).
  • UNE-EN ISO/IEC 27002 que es igual que las normas internacionales ISO/IEC 27002 Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información.
  • Legislación consolidada de Servicios de la Sociedad de la Información y de Comercio Electrónico. (LSSICE).
  • Real Decreto Legislativo por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia. (Ministerio de cultura)
  • Ley por la que se modifica el texto refundido de la Ley de Propiedad Intelectual y por el que se incorporan al ordenamiento jurídico español.
  • Ley del Procedimiento Administrativo Común de las Administraciones Públicas. (Nos afecta en la medida de que somos operadores con la administración pública, tanto a nivel tributario, laboral, censal, comercial, etc.)
  • Real Decreto medidas en materia de administración digital, contratación del sector público y telecomunicaciones. (La aplicación de esta norma va en relación con los accesos electrónicos, mediante una modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.)
  • Resolución de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el ENS.
  • Resolución de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
  • Guías de las series 400, 500, 600 y 800 del CCN-CERT.
  • Guía de Seguridad de las TIC CCN-STIC 800 ENS. Glosario de términos y abreviaturas.
  • Guía de Seguridad de las TIC CCN-STIC 801 ENS. Responsabilidades y funciones.
  • Guía de Seguridad de las TIC CCN-STIC 802 ENS. Guía de auditoría
  • Guía de Seguridad de las TIC CCN-STIC 803 ENS. Valoración de los sistemas
  • Guía de Seguridad de las TIC CCN-STIC 803 Anexo I – Valoración de los sistemas en Universidades
  • Guía de Seguridad de las TIC CCN-STIC 804 ENS. Guía de implantación.
  • Guía de Seguridad de las TIC CCN-STIC 805 ENS. Política de seguridad de la información.
  • Guía de Seguridad de las TIC CCN-STIC 806 Plan de Adecuación al ENS.
  • Guía de Seguridad de las TIC CCN-STIC 807 Criptología de empleo en el ENS.
  • Guía de Seguridad de las TIC CCN-STIC 808 Verificación del cumplimiento del ENS.
  • Guía de Seguridad de las TIC CCN-STIC 809 Declaración, certificación y aprobación provisional de conformidad con el ENS y distintivos de cumplimiento.
  • Guía de Seguridad de las TIC CCN-STIC 825 ENS. Certificaciones 27001

GEMED SOLUCIONES será responsable de identificar las guías de seguridad del LISTADO DE GUÍAS CCN‐STIC, referenciadas en el mencionado artículo, que serán de aplicación para mejorar el cumplimiento de lo establecido en el ENS (ver Anexo B. Listado de Guías CCN-STIC Aplicadas).

También forman parte del marco normativo las restantes normas aplicables a GEMED SOLUCIONES derivadas de las anteriores y publicadas comprendidas dentro del ámbito de aplicación de la presente Política.

El mantenimiento del marco normativo será responsabilidad del Comité de Gestión de Seguridad de la Información de GEMED SOLUCIONES y se mantendrá actualizado en el registro Requisitos Legales. Además, se dispondrá de las instrucciones técnicas y las guías de seguridad de obligado cumplimiento, publicadas mediante resolución de la Secretaría de Estado de Administraciones Públicas y aprobadas por el Ministerio de Hacienda y Administraciones Públicas, a propuesta del Comité Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional.

  1. ROLES DE SEGURIDAD Y RESPONSABILIDADES

Teniendo en cuenta el artículo 11 del BOE, se debe identificar unos claros responsables para velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa. Se detallarán en la política de seguridad de la organización las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

La gestión de la seguridad de los sistemas de información exige establecer una organización de la seguridad. Determinando con precisión los diferentes actores que la conforman, sus funciones y responsabilidades, así como la implantación de una estructura que la soporte.

Los diferentes roles junto con sus respectivas funciones y responsabilidades están reflejados en la Matriz de Roles y Responsabilidades del departamento de Seguridad y TIC

El Responsable de la Información tendrá como funciones las que se muestran a continuación.

  • El responsable de la información determinará los requisitos de la información tratada.
  • Velar por la seguridad de la información en sus diferentes vertientes: protección física, protección de los servicios y respeto de la privacidad.
  • Es miembro del Comité de Gestión de Seguridad de la Información y responsable de que se elaboren las actas de las reuniones, de la ejecución directa o delegada de las decisiones del Comité.
  • Es responsable de estar al tanto de cambios normativos (leyes, reglamentos o prácticas sectoriales) que afecten a la Organización.
  • Se debe incorporar al Comité de Crisis en caso de desastres y coordinará todas las actuaciones relacionadas con cualquier aspecto de la seguridad de la Organización.
  • Escuchar las inquietudes de la Dirección, de los responsables de seguridad y las debe incorporar al orden del día para su discusión en las reuniones del Comité, aportando información puntual para la toma de decisiones.
  • Valorar las consecuencias de un impacto negativo sobre la seguridad de la información se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos.
  • Determinar las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de seguridad y de sistema.
  • Elaborar los requisitos de formación, calificación de administradores y usuarios desde el punto de vista de seguridad de las TIC, para su aprobación por el Comité.
  • Coordinar la investigación forense relacionada con incidentes que se consideren relevantes.

El Responsable del Servicio tendrá como funciones las que se muestran a continuación.

  • Determinar los requisitos de seguridad de los servicios prestados.
  • Revisar y aprobar los niveles de seguridad de los servicios.
  • Poder incluir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
  • Valorar las consecuencias de un impacto negativo sobre la seguridad de los servicios, se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de las personas.
  • Es responsable de la presentación regular de informes sobre el estado de seguridad de los servicios TIC. Estos informes se presentarán al comité.
  • Es el interlocutor oficial en comunicaciones con otras organizaciones, tarea que puede asumir personalmente o delegar según las circunstancias, pero nunca debe haber más de un interlocutor.
  • Exigir de las organizaciones que prestan servicios de seguridad a la organización, que cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.
  • Adquirir productos de seguridad de las TIC que se utilizarán de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.

El Responsable de Seguridad tiene la responsabilidad y autoridad para:

  • El responsable de la seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
  • Estar al tanto de los cambios de la tecnología y/o del entorno en el que vive la organización, tales que afecten a la organización, debiendo informarse de las consecuencias para las actividades de la Seguridad de las TIC, alertando al Comité y proponiendo las medidas oportunas de adecuación al nuevo marco.
  • Redactar los procedimientos de actuación relativo al uso de los servicios TIC. Estos procedimientos se presentarán al Comité para su aprobación.
  • Ejecutar correctamente las instrucciones del Comité, ejecución que se materializará transmitiendo instrucciones al Responsable del Sistema.
  • Preparar los informes en caso de incidentes excepcionalmente graves y en caso de desastres. Se presentará un informe detallado al Comité y al Comité de Crisis respectivamente.
  • Elaborar un Análisis de Riesgos de los sistemas de las TIC, que será presentado al Comité para su aprobación y deberá actualizarse regularmente.
  • Ejecutar regularmente verificaciones de seguridad según un plan predeterminado y aprobado por el Comité. Los resultados de estas inspecciones se presentarán al Comité para su conocimiento y aprobación. Si como resultado de la inspección aparecen incumplimientos, el Responsable propondrá medidas correctoras que presentará al Comité para su aprobación, responsabilizándose de que sean llevadas a cabo.
  • Elaborar y seguir el Plan de Seguridad, donde intervendrán los diferentes Responsables y será presentado al Comité para su aprobación.
  • Identificar las tareas de administración y operación que garanticen la satisfacción de los criterios y requisitos de segregación de tareas impuestos por el Comité.
  • Coordinar la respuesta ante incidentes que desborden los casos previstos y procedimentados.
  • Seleccionar la relación de medidas del Anexo II del real decreto donde se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el Responsable de la Seguridad.
  • Referenciar las medidas de seguridad en el Anexo II donde podrán ser reemplazadas por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos (Anexo I) y se satisfacen los principios básicos y los requisitos mínimos previstos en los capítulos II y III del real decreto.
  • Indicar de forma detallada como parte integral de la Declaración de Aplicabilidad la correspondencia entre las medidas compensatorias implantadas y las medidas del Anexo II del real decreto y el conjunto será objeto de la aprobación formal por parte del responsable de la seguridad.
  • Deberá analizar los informes de autoevaluación y/o los informes de auditoría, que elevará las conclusiones al Responsable del Sistema para que adopte las medidas correctoras adecuadas.

 El Responsable del Sistema del ENS tiene la responsabilidad y autoridad de:

  • El responsable del sistema, a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.
  • Realizar la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de la Seguridad.
  • Adoptar las medidas correctoras adecuadas de las conclusiones de los informes de autoevaluación y/o los informes de auditoría.
  • Encargar la implantación, configuración y mantenimiento de los servicios de seguridad relacionados con las TIC.
  • Realizar las tareas de administración del Sistema.
  • Realizar las tareas de configuración, mantenimiento y optimización de las bases de datos.
  • Llevar a cabo el registro, contabilidad y gestión de los incidentes de seguridad en los sistemas de información bajo su responsabilidad.
  • Aislar el incidente para evitar la propagación a elementos ajenos a la situación de riesgo.
  • Tomar decisiones a corto plazo si la información se ha visto comprometida y pudiera tener consecuencias graves.
  • Asegurar la integridad de los elementos críticos del sistema de información si se ha visto afectada la disponibilidad de los mismos.
  • Mantener y recuperar la información almacenada por el sistema de información y sus servicios asociados.
  • Investigar el incidente: determinar el modo, los medios, los motivos y el origen del incidente.
  • Planificar la implantación de las salvaguardas en el sistema.
  • Ejecutar el plan de mejora de la seguridad aprobado.
  • Se encarga de las tareas de administración de red, siendo responsable de aspectos de seguridad, como enrutamiento y filtrado, relativos a la infraestructura de red (routers / switches, dispositivos de protección de perímetro, redes privadas virtuales, detección de intrusos, dispositivos trampas, etc.)
  • Encargado de los procedimientos relacionados con la generación, custodia, explotación y terminación de claves de cifrado.

Los Usuarios tienen la responsabilidad de:

  • Los usuarios se relacionan con los servicios TIC para cumplir sus obligaciones laborales. Son el personal autorizado para acceder al Sistema utilizando las posibilidades que les ofrece el mismo.
  • Los usuarios juegan un papel fundamental en el mantenimiento de la seguridad del Sistema, por lo tanto, es fundamental su concienciación en la seguridad de las TIC ya que en la mayoría de los casos constituyen voluntariamente o involuntariamente la principal amenaza para el propio Sistema.
  • Los usuarios deben estar debidamente informados de sus obligaciones y responsabilidades, así como haber sido instruidos para la labor que desempeñan. En particular deben estar formados en relación a la gestión de mecanismos de identificación y al procedimiento de gestión de incidentes.
  • Los usuarios del Sistema son responsables entre otras cosas de: conocer los procedimientos que les competen e informar de cualquier incidente de seguridad o acontecimiento inusual que sea observado durante la operación de su Sistema.

6.1. PROCEDIMIENTOS DE DESIGNACIÓN Y RENOVACIÓN

Es función de la Dirección de la entidad según la guía 801 y el epígrafe 10 designar:

  • El Responsable de la Información y Responsable del Servicio será nombrado por la Dirección a propuesta del Comité de Gestión de Seguridad de la Información, siendo en nuestro caso la misma persona que desempeñará todas las funciones. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.
  • El Responsable de la Seguridad, debe reportar directamente a la Dirección, al Responsable de la Información y al Comité de Gestión de Seguridad de la Información.
  • El Responsable del Sistema, en materia de seguridad, reportará al Responsable de la Seguridad. El Departamento responsable de un servicio que se preste electrónicamente designará al Responsable del Sistema, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.
  1. ESTRUCTURA DEL COMITÉ Y RESPONSABILIDADES

Ilustración 1: Diagrama de Organización de la Seguridad

La Dirección es responsable de que la organización alcance sus objetivos a corto, mediano y largo plazo. Debe respaldar explícita y notoriamente las actividades de la Seguridad de las TIC en la organización. Expresa sus inquietudes al Comité de Gestión de Seguridad de la Información a través del Responsable de la Información. Aprueba la Política de Seguridad de la Información.

El Comité de Gestión de Seguridad de la Información estará formado por: el Director General, CIO, Director Técnico. Este comité se responsabiliza de alinear todas las actividades de la organización en materia de seguridad de la información.

El Comité de Gestión de Seguridad de la Información tendrá las siguientes funciones:

  • Coordina todas las funciones de seguridad de la organización y reportar a la Dirección.
  • Vela por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial.
  • Vela por el alineamiento de las actividades de seguridad y los objetivos de la organización.
  • Asegura la elaboración de la Política de Seguridad de la Información; que será aprobada, firmada por la dirección y distribuida para que sea del conocimiento de todos los implicados.
  • Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información, asegura la creación y aprobación de las normas que enmarcan el uso de los servicios TIC y los procedimientos de actuación.
  • Coordina y aprueba las propuestas recibidas de proyectos de los diferentes ámbitos de seguridad. Los presupuestos elevados serán transmitidos a la Dirección para su aprobación. Los responsables de seguridad se encargarán de llevar a cabo un control y presentación regular del proceso de los proyectos y anuncio de las posibles desviaciones.
  • Escucha las inquietudes de la Dirección y la transmite a los Responsables de Seguridad pertinentes. De estos últimos recaba respuestas y soluciones que una vez coordinadas, son notificadas a la Dirección.
  • Recaba de los Responsables de Seguridad informes regulares del estado de seguridad de la organización y de los posibles incidentes. Estos informes, se consolidan y resumen para la Dirección.
  • Coordina y da respuesta a las inquietudes transmitidas a través de los Responsables de Seguridad y de las diferentes áreas.
  • Define la asignación de roles y los criterios para alcanzar las garantías que estimen pertinentes en lo relativo a segregación de tareas.
  • Aprueba los requisitos de formación, calificación de administradores y de los usuarios desde el punto de vista de seguridad de las TIC.
  • Promueve la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
  • Coordina los Planes de Continuidad, para asegurar una actuación en caso de que deban ser activados.
  • Elabora la estrategia de evolución de la organización en lo que respecta a seguridad de la información y los servicios
  • Aprueba planes de mejora de la seguridad de la información de la organización.
  • Resuelve los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización.
  1. DATOS DE CARÁCTER PERSONAL

GEMED SOLUCIONES trata datos de carácter personal. El documento de Políticas de Privacidad del Tratamiento de los Datos, al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado documento de seguridad.

8.1 FIGURAS VINCULADAS A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

El Delegado de Protección de Datos tiene las obligaciones de cumplir con lo establecido en el RGPD en el art. 39 y LOPDGDD, arts. 34 a 37:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  • Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 3 del BOE.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento y realizar consultas, en su caso, sobre cualquier otro asunto.
  • El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
  • Garantizar las medidas del Anexo II del ENS, así como aquellas otras necesarias para garantizar el adecuado tratamiento de datos personales, podrán ser ampliadas por causa de la concurrencia indicada o de la prudente autoridad del Responsable de la Seguridad, teniendo en cuenta el estado de la tecnología, la naturaleza de los servicios prestados, la información manejada, y los riesgos a que están expuestos.

El Responsable del Tratamiento (Protección de datos) definido en el RGPD, art.4.7 y LOPDGDD, Título V:

  • Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

El Encargado del Tratamiento (Protección de datos) según el RGPD, art. 4.8 y LOPDGDD, Título V:

  • Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

El Encargado del Tratamiento deberá aplicar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Deberá implementar las medidas de seguridad que aparecerán estipuladas en el contrato con el Responsable del Tratamiento.

  1. INCIDENTES DE SEGURIDAD.

El GEMED SOLUCIONES dispone de procedimientos de gestión de incidentes de seguridad de acuerdo con lo previsto en el artículo 25 y en el artículo 33 del BOE la capacidad de respuesta a incidentes de seguridad, la Instrucción Técnica de Seguridad correspondiente, en caso de tratarse de un operador de servicios esenciales o de un proveedor de servicios digitales, se dispone de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los canales de comunicación a las partes interesadas y el registro de las actuaciones.

El departamento debe estar preparado para prevenir, detectar y responder ante los incidentes, además de garantizar la conservación de los datos e informaciones en soporte electrónico, manteniendo disponible los servicios durante todo el ciclo de vida de la información, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.

9.1 PREVENCIÓN

El departamento debe prevenir que la información o los servicios se vean perjudicados por incidentes de seguridad, para minimizar las vulnerabilidades, evitar que las amenazas se materialicen, o afecten la información y los servicios, considerando la disuasión y la reducción de la exposición, de acuerdo con el Artículo 8 del BOE. Se implementarán medidas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.

  • Definir, asignar los roles y responsabilidades.
  • Establecer áreas seguras para los sistemas de información crítica o confidencial.
  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
  • Identificar si un atacante remoto podría penetrar las defensas.
  • Determinar el impacto de una violación de seguridad.

9.2 MONITORIZACIÓN Y DETECCIÓN

Dado que los servicios se pueden degradar rápidamente se debe monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 10 del BOE, donde las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del BOE, están constituidas por medidas de naturaleza organizativa, física y lógica; donde el sistema debe disponer de una estrategia de protección constituida por múltiples capas de seguridad, para cuando una de las capas falle permita:

  • Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse y deben interrumpir a tiempo los incidentes de seguridad
  • Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
  • Minimizar el impacto final sobre el sistema.

Se establecerán vigilancia continua teniendo en cuenta los mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

  • Sistemas de detección de intrusos a nivel de red.
  • Sistemas de detección de intrusos a nivel sistema.

9.3 RESPUESTA

El departamento de Seguridad y TIC asumirá medidas de respuesta que se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones con los equipos de respuesta a incidentes de seguridad.

9.4 CONSERVACIÓN Y RECUPERACIÓN

Los departamentos deben desarrollar procedimientos que aseguren la preservación de la información digital, la disponibilidad de los servicios críticos, los planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

  1. OBLIGACIONES DEL PERSONAL

Todos los miembros del departamento de Seguridad y TIC de GEMED SOLUCIONES tienen la obligación de conocer y cumplir la Política de Seguridad de la Información y la Normativa de Seguridad atenderán a sesiones de concienciación en materia de seguridad continuamente, como mínimo una vez al año y en particular a los de nueva incorporación. El Comité de Gestión de Seguridad de la Información es responsable de disponer de los medios necesarios para que la información llegue a los afectados.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

  1. TERCERAS PARTES

Cuando GEMED SOLUCIONES preste servicios o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación del respectivo Comité de Gestión de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando se utilicen servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

  1. APLICACIÓN DE LOS REQUISITOS MÍNIMOS

Teniendo como referencia las guías de seguridad CCN-STIC-805 y CCN-STIC-402 para desarrollar la política de seguridad de la información y el artículo 12 del BOE, Requisitos mínimos de seguridad, donde dispondrá la gestión continuada de la seguridad y se establecerá de acuerdo con los principios básicos indicados que se exigirán en proporción a los riesgos identificados en cada sistema, pudiendo algunos no requerirse en sistemas sin riesgos significativos y se cumplirán de acuerdo con lo establecido en el artículo 28 del BOE Cumplimiento de requisitos mínimos donde se aplicarán las Medidas de Seguridad indicadas en el Anexo II.

12.1 ORGANIZACIÓN E IMPLANTACIÓN DEL PROCESO DE SEGURIDAD

La Política de Seguridad de la Información es un documento de alto nivel en una organización. El documento debe estar accesible por todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible. Se cumplimentará con documentos con detalles técnicos; como la normativa, las guías y los procedimientos de seguridad.

  • Las normas uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de los usuarios. Son de carácter obligatorio.
  • Las guías tienen un carácter formativo, ayudan a los usuarios a aplicar correctamente las medidas de seguridad proporcionando razonamientos donde no existen procedimientos precisos y previenen que se pasen por alto aspectos importantes de seguridad que pueden materializarse de varias formas.
  • Los procedimientos [operativos] de seguridad afrontan tareas concretas, indicando lo que hay que hacer, paso a paso. Son útiles en tareas repetitivas.
  • Aviso Legal y Políticas de privacidad (Política de privacidad y protección de datos.)
  • Política Ambiental, de Calidad, de Seguridad de la Información y de Continuidad de Negocio de GEMED SOLUCIONES.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La política de seguridad estará disponible en la página web de la empresa, para que sea del conocimiento de todos los trabajadores del departamento de Seguridad y TIC de GEMED SOLUCIONES. La normativa de seguridad se encontrará disponible al personal en todo momento, además de que se realizó una comunicación a todos los trabajadores, para que se efectúe el análisis y lectura del documento.

12.2 GESTIÓN DOCUMENTAL DEL SISTEMA

Los procedimientos e instrucción técnica cumplen con el procedimiento de Elaboración y Gestión Documental en el SGSI y en la documentación del ENS se encuentra definido en la Normativa de Seguridad.

Este formato podría ser libre en caso de documentos de terceros que hayan sido agregados adicionalmente a la operativa de seguridad (Manuales de fabricantes, informes de auditoría, Documentos procedentes de otras normas, Leyes o regulaciones, etc.) y también en el caso de instrucciones técnicas de la propia compañía.

Todo el personal de la empresa puede acceder a las políticas redactadas en GEMED SOLUCIONES y en el caso de los procedimientos solo tendrán acceso el Responsable de Sistema, Responsable de Seguridad, Responsable de la Información y del Servicio según sea requerido para sus funciones y para el resto del departamento de Seguridad y TIC solo aquellos que requieran trabajar con un procedimiento en particular.

12.3 ANÁLISIS Y GESTIÓN DE LOS RIESGOS

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis será la base para determinar las medidas de seguridad que se deben adoptar, además de los mínimos establecidos según lo previsto en el artículo 7 y 14 del BOE, se repetirá:

  • Regularmente, al menos una vez al año.
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Gestión de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados; además dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Los criterios de evaluación de riesgos se especificarán en la metodología de evaluación de riesgos que elaborará la organización, basándose en estándares y buenas prácticas reconocidas. Deberán tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los servicios o el cumplimiento de la misión de la organización de forma grave. Se priorizarán especialmente los riesgos que impliquen un cese en la prestación de servicios a los ciudadanos.

El propietario de un riesgo debe ser informado de los riesgos que afectan a su propiedad y del riesgo residual al que está sometida. Cuando un sistema de información entra en operación, los riesgos residuales deben haber sido aceptados formalmente por su correspondiente propietario.

12.4 AUTORIZACIÓN Y GESTIÓN DEL CONTROL DE ACCESO

Según el artículo 17 del BOE, se debe establecer la autorización y control de los accesos a los sistemas de información donde se deberá limitar a los usuarios, procesos, dispositivos u otros sistemas de información, exclusivamente a las funciones permitidas.

Preservar la seguridad de los sistemas de información y de conformidad con lo dispuesto en el RGPD y el respeto a los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación podrán, en la medida estrictamente necesaria y proporcionada, analizar las comunicaciones entrantes o salientes, y únicamente para los fines de seguridad de la información, de forma que sea posible impedir el acceso no autorizado a las redes y sistemas de información, detener los ataques de denegación de servicio, evitar la distribución malintencionada de código dañino así como otros daños a las antedichas redes y sistemas de información.

Para exigir responsabilidades, cada usuario que acceda al sistema de información deberá estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado una determinada actividad.

12.5 PROTECCIÓN DE LAS INSTALACIONES

En cuanto a la protección de las instalaciones según el artículo 18 del BOE, los sistemas de información y su infraestructura de comunicaciones asociada deberán permanecer en áreas controladas y disponer de los mecanismos de acceso adecuados y proporcionales en función del análisis de riesgos, por la que se establecen medidas para la protección de las infraestructuras críticas.

12.6 ADQUISICIÓN DE PRODUCTOS Y CONTRATACIÓN DE SERVICIOS

La adquisición de productos de seguridad y contratación de servicios de seguridad que vayan a ser empleados en los sistemas de información que están dentro del alcance del ENS, deben cumplir con lo referido en el artículo 19 del BOE y según la categoría del sistema, se debe tener en cuenta para aquellos aplicativos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. Se debe considerar el cumplimiento de los requisitos de seguridad, las certificaciones de seguridad que se requieran y los criterios a seguir según el Centro Criptológico Nacional.

12.7 MÍNIMO PRIVILEGIO

Los sistemas de información están diseñados y configurados para otorgar los mínimos privilegios necesarios al personal para el correcto desempeño de sus actividades, se proporcionará la funcionalidad imprescindible para que la organización alcance sus objetivos.

Las funciones de operación y administración son desarrolladas por personas autorizadas, se realizarán desde emplazamientos o equipos autorizados y puntos de acceso facultados. Se eliminarán o desactivarán las funciones que son innecesarias o inadecuadas al fin que se persigue. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

Se aplicarán guías de configuración de seguridad para las diferentes tecnologías referentes al control de acceso, adaptadas a la categorización del sistema, al efecto de eliminar o desactivar las funciones que sean innecesarias o inadecuadas.

12.8 INTEGRIDAD Y ACTUALIZACIÓN DEL SISTEMA.

La integridad y actualización del sistema debe cumplir con lo dispuesto en el artículo 21 del BOE, tiene por objetivo conseguir una protección adecuada de los Sistemas, definir e implantar un conjunto de medidas de seguridad, tanto técnicas como organizativas, que permiten la creación de un entorno seguro para la información y los sistemas que los sustentan.

Los Sistemas se mantendrán actualizados, se realizarán evaluaciones para verificar el funcionamiento apropiado de los mecanismos de protección relacionados con la Seguridad de las Tecnologías de la Información y Comunicaciones durante todo el ciclo de vida del sistema y se analizarán para detectar las posibles vulnerabilidades. En el caso de los sistemas que manejen información clasificada deberán disponer de un conjunto equilibrado de servicios de seguridad que permitan alcanzar los objetivos de seguridad requeridos y protejan los sistemas de forma adecuada.

La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa.

La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo a las deficiencias de configuración, las vulnerabilidades identificadas y las actualizaciones que les afecten, así como la detección temprana de cualquier incidente que tenga lugar sobre los mismos.

12.9 PROTECCIÓN DE INFORMACIÓN ALMACENADA Y EN TRÁNSITO.

La organización prestará especial atención a la información almacenada o en tránsito a través de los equipos, dispositivos portátiles, móviles, periféricos o los soportes de información y las comunicaciones sobre redes abiertas que se analizarán para lograr una adecuada protección teniendo en cuenta el artículo 22 del BOE.

Se aplicarán procedimientos que garanticen la recuperación y conservación a largo plazo de los documentos electrónicos producidos por los sistemas de información. Toda información en soporte no electrónico que haya sido consecuencia directa de la información electrónica, deberá estar protegida. Para ello, se aplicarán las medidas que correspondan a la naturaleza del soporte, de conformidad con las normas que resulten de aplicación.

12.10 PREVENCIÓN ANTE OTROS SISTEMAS DE INFORMACIÓN INTERCONECTADOS

Se protegerá el perímetro del sistema de información, si se conecta a redes públicas, reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad, teniendo en cuenta el artículo 23 del BOE. Se analizarán los riesgos derivados de la interconexión del sistema con otros sistemas y se controlará su punto de unión; para la adecuada interconexión entre sistemas se estará a lo dispuesto en la Instrucción Técnica de Seguridad correspondiente.

Se produce una conexión cuando se proveen los medios físicos y lógicos de transmisión susceptibles de ser empleados para el intercambio de información. La interconexión entre Sistemas tiene lugar cuando existe una conexión y se habilitan flujos de información entre los Sistemas con diferentes políticas de seguridad, diferentes niveles de confianza, diferentes autoridades operativas o una combinación de las anteriores.

Se entenderá por red pública de comunicaciones; la red de comunicaciones electrónicas que se utiliza para la prestación de servicios de comunicaciones electrónicas disponibles para el público. En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas y se controlará su punto de unión. El sistema ha de proteger el perímetro, en particular, si se conecta a redes públicas.

12.11 REGISTRO DE LA ACTIVIDAD Y DETECCIÓN DE CÓDIGO DAÑINO

Según el artículo 24 del BOE, con el propósito de satisfacer las garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

Se establecen procedimientos para hacer la comprobación de seguridad de los sistemas, para revisar el cumplimiento técnico se utilizan herramientas automáticas que generan informes técnicos que posteriormente interpretan especialistas competentes y autorizados para realizar dicha actividad, de los cuales se generan los Informes de pruebas de seguridad y los Informes de vulnerabilidades.

Los Registros de Actividad de los Usuarios incluyen una serie de controles para revisar el cumplimiento de la política de seguridad.

Para protegerse contra las amenazas provocadas por código malicioso la organización establece un procedimiento de Protección contra código Malicioso y se establecen las siguientes medidas:

  • Instalación de software antivirus en cada uno de los equipos, gestionados mediante una consola centralizada.
  • Instalación y gestión de un firewall por hardware para evitar accesos no deseados, dotado de inteligencia anti malware.

12.12 CONTINUIDAD DE ACTIVIDAD.

En GEMED SOLUCIONES se aplican las medidas mínimas de seguridad exigidas por el ENS, así como realizar un seguimiento continuo de los niveles de prestación de servicios. Los sistemas dispondrán de copias de seguridad y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.

12.13 MEJORA CONTINUA DEL PROCESO DE SEGURIDAD.

El proceso integral de seguridad implantado en GEMED SOLUCIONES será actualizado y mejorado de forma continua, se aplicarán los criterios y métodos reconocidos en la práctica relativos a la gestión de la seguridad de las tecnologías de la información.

  1. REFERENCIAS BIBLIOGRÁFICAS
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el ENS. BOE, 4 de mayo de
  • Guía de seguridad (CCN-STIC-805) ENS. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
  • Guía de seguridad de las TIC (CCN-STIC-402) ORGANIZACIÓN Y GESTIÓN PARA LA SEGURIDAD DE LOS SISTEMAS TIC.
  • Guía de seguridad (CCN-STIC-801) ENS. RESPONSABILIDADES Y FUNCIONES
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. BOE de 14 de diciembre de 1999.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. BOE de 19 de enero de 2008.