POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE SUMINISTRADORES
Ponemos en conocimiento de nuestros proveedores la existencia de Directrices de Seguridad de la Información establecidas en nuestra organización para mostrar el compromiso de PRODEVELOP en la protección y garantía de los principios de: confidencialidad, integridad, autenticidad y disponibilidad de la información manejada en la Organización.
Trabajamos bajo un Sistema de Gestión de Seguridad de la Información, cuyo alcance no sólo afecta al uso de los activos, sino que se extiende a todas las personas y terceros en el conocimiento y cumplimiento de estas Directrices estructuradas acorde a la norma ISO/IEC 27001:2013. Tanto la Política como las Directrices de Seguridad de la Información, están en línea con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Esta regulación en materia de seguridad incide en los siguientes campos de la Organización:
- Acceso a las instalaciones. En la que se regulan las normas de acceso, haciendo especial mención a los accesos a áreas seguras y regulación del acceso a personas ajenas a la organización.
- Acceso a la red corporativa. Los recursos corporativos son protegidos con los medios de seguridad técnicos necesarios para asegurar la protección de la información, ya sea desde las propias instalaciones o de forma externa. El acceso y el uso de la información están reguladas por normas enfocadas a la protección con especial atención a información sensible o confidencial.
- Uso de los activos. Las personas en PRODEVELOP se comprometen a hacer un uso racional y velar por el cuidado de los equipos proporcionados por la Organización para el desempeño de sus funciones y tareas. En este sentido se describen normas de actuación y se aplican configuraciones encaminadas a la protección de la información contenida en estos dispositivos.
- Uso de Internet. Especial atención se realiza en la regulación del uso de Internet, correo electrónico y almacenamiento en la nube a usos profesionales con el objetivo de minimizar riesgos que puedan producirse con un uso no regulado de dichas herramientas.
- Gestión de incidencias. La implicación de las personas de PRODEVELOP en materia de seguridad ayuda a detectar posibles problemas que puedan poner en peligro la confidencialidad, integridad y disponibilidad los servicios o activos que soportan.
- Continuidad de negocio. Todos los medios implantados para la disponibilidad y continuidad del negocio están en línea con los requerimientos de los esquemas ISO certificados en la organización.
- Propiedad intelectual. Protegida con el compromiso de las personas de PRODEVELOP conforme a las normas de confidencialidad de la organización.
La violación de las Políticas y las directrices de Seguridad está sujetas a sanción de acuerdo con los mecanismos habilitados en la legislación vigente.
Tanto la política (SGSI02-PolíticaDeSeguridad) como las directrices (SGSI04-DirectricesGestionSeguridad) son revisadas periódicamente para alinearlas con las necesidades de la organización.
El Comité de Dirección conoce la importancia de estas Políticas y participa activamente en la revisión de las mismas.
POLÍTICA DE SEGURIDAD ENS
1 Introducción
La presente Política de Seguridad de la Información se elabora en cumplimiento de la exigencia del Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS),en el ámbito de la Administración Electrónica, que en su artículo 11 establece la obligación a las Administraciones Públicas y a los proveedores de servicios de las Administraciones públicas de disponer de una Política de Seguridad e indica los requisitos mínimos que debe cumplir.
Esta Política de Seguridad sigue también las indicaciones de la guía CCN-STIC-805 del Centro Criptológico Nacional (CCN), centro adscrito al Centro Nacional de Inteligencia (CNI).
Ley 40/2015, de Régimen Jurídico del Sector Público establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados y recoge el Esquema Nacional de Seguridad en su artículo 156.
Mientras que la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13 sobre derechos de las personas en sus relaciones con las Administraciones Públicas el relativo a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
La finalidad del ENS es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
La adaptación al ENS implica que Prodevelop y su personal deben aplicar las medidas mínimas de seguridad exigidas por el propio ENS, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Las diferentes unidades de gestión de Prodevelop deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.
Los requisitos de seguridad y los costes asociados deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Ponemos en conocimiento de nuestros proveedores la existencia de Directrices de Seguridad de la Información establecidas en nuestra organización para mostrar el compromiso de PRODEVELOP en la protección y garantía de los principios de: confidencialidad, integridad, autenticidad y disponibilidad de la información manejada en la Organización.
Las unidades de gestión de Prodevelop deben estar preparadas para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 7 del ENS.
1.1. Prevención
Prodevelop debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, se deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, la organización debe:
- Autorizar los sistemas antes de entrar en operación.
- Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
1.2. Detección
Dado que los servicios se pueden degradar rápidamente debido a incidentes, se debe monitorizar la operación de manera continuada para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
1.3. Respuesta
Prodevelop debe:
- Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
- Designar puntos de contacto para las comunicaciones con respecto a incidentes detectados en áreas de la entidad o en otros organismos relacionados con Prodevelop.
- Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT) reconocidos a nivel nacional como Iris-CERT, CCN-CERT y otros equivalentes.
1.4. Recuperación
Para restaurar la disponibilidad de los servicios, se deberán desarrollar planes de contingencia de los sistemas TIC que incluyan actividades de recuperación de la información que contribuyan a la continuidad del servicio.
2. Misión
Prodevelop tiene como misión prestar servicios de desarrollo de aplicaciones para administraciones públicas, el desarrollo de aplicaciones en el ámbito de I+D+I y aunque en menor medida, el desarrollo de aplicaciones en la empresa privada.
El principal sector de actuación de Prodevelop en cuanto a administraciones públicas, es el sector portuario. Se ofrecen soluciones portuarias para la gestión y optimización de actividades portuarias.
Además, la empresa está altamente comprometida con la investigación, desarrollo e innovación, como fuente de enriquecimiento del conocimiento de nuestro equipo de trabajo.
Las soluciones que ofrece Prodevelop principalmente pertenecen a los sectores marítimo, agrario, administración pública, transporte y medioambiente.
3. Alcance
Prodevelop aplicará la presente Política de Seguridad sobre aquellos sistemas que están relacionados con el ejercicio de desarrollo de las aplicaciones utilizadas por las administraciones públicas y que están relacionados con el ejercicio de derechos por medios electrónicos, con el cumplimiento de deberes por medios electrónicos o con el acceso a la información o al procedimiento administrativo.
De forma concreta, atendida la misión de Prodevelop definida en el punto 2, la presente Política de Seguridad es aplicable sobre los Sistemas de Información que dan soporte a las actividades de desarrollo software, implantación y asistencia.
La organización desestima la aplicación de la presente Política de Seguridad sobre aquellos sistemas de información no reflejados en este apartado.
4. Marco normativo complementario
En el desarrollo e implementación de esta política se tendrán en cuenta los Estatutos de Prodevelop, así como sus normativas de desarrollo relacionadas con los objetivos de este.
5. Organización de la seguridad
Pueden distinguirse tres (3) niveles en el organigrama de Prodevelop:
- Nivel 1 – Dirección general:
Secretario General, que entiende la misión de la organización, determina los
objetivos que se propone alcanzar y responde que se alcancen.
- Nivel 2 – Dirección Ejecutiva:
Servicios, que entienden qué hace cada unidad de gestión y cómo las
diferentes unidades se coordinan entre sí para alcanzar los objetivos
marcados por la Dirección.
- Nivel 3: Operacional
Se centra en una actividad concreta y controla cómo se hacen las cosas.
Siguiendo el mismo esquema y de acuerdo con el ENS se estructura un organigrama de seguridad Prodevelop en 3 niveles:
- Nivel 1:
- Comité de Seguridad Corporativa (cso)
- Comité de seguridad de la información(ciso)
- Responsable de la Información.
- Responsable del Servicio
- Nivel 2:
- Responsable de la Seguridad de la Información.
- Nivel 3:
- Responsables de los Sistemas de Información.
La especificación de requisitos de seguridad (Nivel 1) corresponde a los responsables de la información y de los servicios, junto con el responsable del fichero si hubiera datos de carácter personal. La operación (nivel 3) corresponde a los responsables de los sistemas, mientras que la supervisión corresponde al responsable de la seguridad (nivel 2).
Por encima de todos ellos existe el Comité de Coordinación y Gestión de la Seguridad (nivel 1). Este Comité de Seguridad puede asumir también la responsabilidad de la Información y de los Servicios.
La descripción concreta de las responsabilidades puede consultarse en el
documento: SGS01-Roles y Responsabilidades.docx
5.1. Procedimientos de designación
El desempeño de las responsabilidades definidas en esta Política de Seguridad vendrá determinado por el acceso a los diferentes cargos que se han vinculado a ellas. En el caso de que desapareciese o cambiara de denominación alguno de estos cargos será competencia de Dirección de Prodevelop asignar el nuevo puesto al que quedará vinculada la figura.
6. Datos de carácter personal
Prodevelop realiza tratamientos en los que hace uso de datos de carácter personal sometidos a lo dispuesto por el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016.
Las políticas de seguridad aplicables a estos tratamientos se rigen por el Registro de Tratamiento de Datos Personales de Prodevelop, en él se relacionan los tratamientos de datos afectados por el Reglamento.
Todos los sistemas de información de Prodevelop se ajustarán a la seguridad requerida por la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Tratamiento de Datos.
7. Gestión de riesgos
Todos los sistemas sujetos a esta Política de Seguridad realizarán un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
- Regularmente, al menos una vez al año.
- Cuando cambie la información manejada.
- Cuando cambien los servicios prestados.
- Cuando ocurra un incidente grave de seguridad.
- Cuando se reporten vulnerabilidades graves.
Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información gestionados y los diferentes servicios prestados.
8. Desarrollo de la Política de Seguridad
Esta Política se desarrolla por medio de Normativa de Seguridad que afronte aspectos específicos. La Normativa de Seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
Otros documentos que complementan esta Política de Seguridad son:
- El Registro de Tratamiento de Datos Personales de Prodevelop.
- Normativa de seguridad y política de seguridad del SGSI de Prodevelop.
- La normativa de seguridad estará disponible en la aplicación de gestión de documentación utilizada por Prodevelop.
9. Obligaciones del personal
Todos los miembros de Prodevelop tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad del Comité de Seguridad disponer de los medios necesarios para que la información llegue a los afectados, teniendo en cuenta siempre las disponibilidades presupuestarias de Prodevelop.
Todos los trabajadores de Prodevelop bajo el alcance del ENS atenderán a una acción de concienciación en materia de seguridad TIC, al menos, una vez cada dos años. Se establecerá un programa de acciones en concienciación continua para atender a todos los miembros de Prodevelop relacionados con desarrollos de aplicaciones relacionadas con la administración pública, en particular a los de nueva incorporación, teniendo en cuenta siempre las disponibilidades presupuestarias de Prodevelop. Se realizará una acción de concienciación durante los dos años siguientes a la aprobación de esta Política de Seguridad y de manera continuada para el personal de nueva incorporación.
En su caso, si se requiere formación específica para el manejo seguro de los sistemas, las personas con responsabilidad en la operación o administración de sistemas TIC la recibirán en la medida en que la necesiten para realizar su trabajo.
10. Terceras partes
Cuando Prodevelop preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad de la Información. Para ello, se establecerán canales para informe y coordinación de los respectivos Comités de Seguridad del ENS y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando Prodevelop utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad que implique a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la mencionada normativa. Con ello, el proveedor deberá garantizar que su personal está adecuadamente formado en materia de seguridad de acuerdo con los requerimientos de Prodevelop.
11. Entrada en vigor
La presente Política de Seguridad de la Información es efectiva desde el día siguiente al de su fecha de aprobación por la Dirección de Prodevelop y hasta que sea reemplazada por una nueva Política.
Anexo A. Glosario de términos
- Análisis de riesgos : Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
- Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables en el Reglamento General de Protección de Datos Personales.
- Gestión de incidentes: Plan de acción para atender a las incidencias que se den. Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas. ENS.
- Gestión de riesgos : Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. ENS.
- Incidente de seguridad: Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información. ENS.
- Información: Caso concreto de un cierto tipo de información.
- Política de seguridad: Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que consideran críticos. ENS.
- Principios básicos de seguridad: Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios. ENS.
- Responsable de la información: Persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
- Responsable de la seguridad: El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
- Responsable del servicio: Persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.
- Responsable del sistema: Persona que se encarga de la explotación del sistema de información.
- Servicio: Función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses o satisfacer necesidades de los ciudadanos.
- Sistema de información: Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
Anexo B. Abreviaturas
- CCN: Centro Criptológico Nacional
- CERT: Computer Emergency Reaction Team
- ENS: Esquema Nacional de Seguridad
- STIC: Seguridad TIC
- TIC: Tecnologías de la Información y las Comunicaciones
Anexo C. Referencias
- CCN-STIC-402 Organización y Gestión para la Seguridad de los Sistemas TIC. Diciembre 2006.
- CCN-STIC-801 ENS – Responsables y Funciones. 2010.
- Ley 11/2007 Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. BOE de 23 de junio de 2007.
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016
Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos)
- RD 951/2015
Real Decreto 951/2015, de 23 de octubre por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica