Política de seguridad ENS para Administraciones Públicas
Introducción
- Seguridad como proceso integral
- Gestión de la seguridad basada en riesgos
- Prevención, detección, respuesta y conservación
- Existencia de líneas de defensa
- Vigilancia continua
- Reevaluación periódica
- Diferenciación de responsabilidades
Reflejados en los siguientes requisitos mínimos de seguridad exigidas por el ENS:
- Organización e implantación del proceso de seguridad.
- Análisis y gestión de los riesgos.
- Gestión de personal.
- Profesionalidad.
- Autorización y control de los accesos.
- Protección de las instalaciones.
- Adquisición de productos de seguridad y contratación de servicios de seguridad.
- Mínimo privilegio.
- Integridad y actualización del sistema.
- Protección de la información almacenada y en tránsito.
- Prevención ante otros sistemas de información interconectados.
- Registro de la actividad y detección de código dañino.
- Incidentes de seguridad.
- Continuidad de la actividad.
- Mejora continua del proceso de seguridad.
Para asegurarse debe realizarse un seguimiento continuo de los niveles de prestación de servicios, analizar las vulnerabilidades reportadas y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Wetak se compromete a que la seguridad TIC sea una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, incluyendo las decisiones de desarrollo o adquisición y las actividades de explotación.
Alcance
Esta política se aplica a todos los sistemas TIC que den servicio de Alejandría a las Administraciones Públicas y a todo el personal de Wetak que participa en estos proyectos o tiene acceso a la infraestructura o información de estos sistemas. La seguridad de la información está en la mano de todos, es un trabajo en equipo.
Misión/Objetivos de Wetak
La razón de Wetak es acompañar a sus organizaciones clientes en sus necesidades sobre formación digital, creando soluciones de aprendizaje y los contenidos para dichas soluciones. Para las Administraciones Públicas ofrecemos la plataforma de formación Alejandría.
Marco normativo
-
Con la protección de datos de carácter personal:
-
RGPD, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
-
LOPDGDD, Ley Orgánica 3/2018, de 5 de diciembre.
-
-
Con la protección intelectual, Ley 2/2019, de 1 de marzo.
-
Con la seguridad de la información (ENS), Real Decreto 311/2022, de 3 de mayo.
Organización de la seguridad
Comité de Seguridad de la Información
El Comité de Seguridad de la Información será el encargado de coordinar la seguridad de la información en Wetak y reportará a la organización. Estará formado por los siguientes responsables:- Responsable de la información y del servicio
- Responsable de la seguridad
- Responsable del sistema
Las funciones del Comité de Seguridad de la Información son:
- Atender las inquietudes de la Dirección de la entidad y de los diferentes departamentos.
- Informar regularmente del estado de la seguridad de la información a la Dirección.
- Promover la mejora continua del sistema de gestión de la seguridad de la información.
- Elaborar la estrategia de evolución de la organización en lo que respecta a seguridad de la información.
- Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, que están alineados con la estrategia decidida en la materia, evitando duplicidades.
- Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su aprobación por la Dirección.
- Aprobar la Normativa de Seguridad de la Información.
- Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios, desde el punto de vista de seguridad de la información.
- Monitorizar los principales riesgos residuales asumidos por la organización y recomendar posibles actuaciones.
- Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de tales incidentes.
- Promover la realización de auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
- Aprobar planes de mejora de la seguridad de la información de la organización. En particular, velará por la coordinación de distintos planes que puedan realizarse en diferentes áreas.
- Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
- Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
- Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
- Promover la vigilancia continua del sistema con el objetivo de detectar actividades o comportamientos anómalos, así como garantizar una respuesta acorde.
- Promover la evaluación permanente del estado de la seguridad de los activos con el objetivo de medir su evolución, detectar vulnerabilidades e identificar deficiencias de configuración.
Funciones y responsabilidades
Responsable de la información y del servicio:
- Determina los requisitos de seguridad de la información tratada y los servicios prestados.
- Valora las consecuencias de un impacto negativo sobre la seguridad de la información y los servicios. Se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos.
- Propietario de los riesgos de la información y los servicios. Encargado de aceptar riesgos residuales de la información y servicios. Encargado de monitorizar estos riesgos (puede delegar el día a día).
- Debe incluir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
Responsable de la seguridad:
Es el Secretario/a del Comité de Seguridad de la Información.
- Convoca las reuniones del Comité de Seguridad de la Información.
- Prepara los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
- Elabora el acta de las reuniones.
- Es responsable de la ejecución directa o delegada de las decisiones del Comité.
- Determina las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de la información y de los servicios.
- Supervisa la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
- Es jerárquicamente independiente del Responsable del Sistema.
- En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del Responsable de la Seguridad.
- Las medidas del Anexo II del ENS, así como aquellas otras necesarias para garantizar el adecuado tratamiento de datos personales podrán ser ampliadas por causa de la concurrencia indicada o del prudente arbitrio del Responsable de la Seguridad del sistema, habida cuenta del estado de la tecnología, la naturaleza de los servicios prestados y la información manejada, y los riesgos a que están expuestos.
- Firma la relación de medidas seleccionadas del Anexo II formalizada en un documento denominado Declaración de Aplicabilidad.
- Aprueba formalmente el reemplazo de las medidas de seguridad referenciadas en el Anexo II por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos (Anexo I) y se satisfacen los principios básicos y los requisitos mínimos previstos en los capítulos II y III del real decreto. Como parte integral de la Declaración de Aplicabilidad se indicará de forma detallada la correspondencia entre las medidas compensatorias implementadas y las medidas del Anexo II que compensan.
- Analiza los informes de autoevaluación y/o los informes de auditoría y eleva las conclusiones al Responsable del Sistema para que adopte las medidas correctoras adecuadas.
- Propone indicadores para el seguimiento de riesgos y definirlos junto a sus propietarios.
Responsable del sistema:
- Se encarga de la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de la Seguridad.
- Su responsabilidad puede estar situada dentro de la organización (utilización de sistemas propios) o estar compartimentada entre una responsabilidad mediata (de la propia organización) y una responsabilidad inmediata (de terceros), cuando los sistemas de información se encuentran externalizados.
- Visto el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.
Procedimiento de designación
Es función de la Dirección de la entidad designar:- Al Responsable de la Información y del servicio.
- Al Responsable de la Seguridad, que debe reportar directamente a la Dirección.
- Al Responsable del Sistema, escuchando la opinión de los responsables de las informaciones y los servicios afectados. En materia de seguridad reportará al Responsable de la Seguridad. Puede estar compartimentado entre una responsabilidad mediata (dentro de la organización) y una responsabilidad inmediata (tercero, para sistemas externalizados).
Resolución de conflictos
Wetak establece un mecanismo claro y definido para la resolución de conflictos relacionados con la seguridad de la información. Este mecanismo incluye los siguientes pasos:- Identificación del conflicto: Cualquier conflicto relacionado con la seguridad de la información debe ser reportado inmediatamente al Responsable de Seguridad de la Información.
- Evaluación inicial: El Responsable de Seguridad de la Información evaluará el conflicto para determinar su naturaleza, impacto y urgencia. Esto incluye la recopilación de información relevante y la consulta con las partes implicadas.
- Mediación interna: Se convocará una reunión con todas las partes involucradas, incluyendo el Comité de Seguridad de la Información, para intentar resolver el conflicto mediante mediación. En esta fase se buscan soluciones que satisfagan a todas las partes implicadas.
- Decisión del Comité de Seguridad de la Información: Si la mediación interna no resuelve el conflicto, el Comité de Seguridad de la Información tomará una decisión final basándose en los principios y políticas de Wetak, así como en las leyes y normativas aplicables.
- Documentación y comunicación: Todas las decisiones y acciones tomadas durante el proceso de resolución de conflictos serán documentadas y comunicadas a las partes implicadas. Esta documentación se mantendrá como registro para futuras referencias.
- Seguimiento y Revisión: Tras la resolución del conflicto, se llevará a cabo un seguimiento para asegurar que las soluciones implementadas son efectivas y sostenibles. El Comité de Seguridad de la Información revisará el caso para identificar posibles mejoras en los procesos y políticas de seguridad.
Documentación
La documentación sobre la que se soporta esta política estará compuesta por un conjunto de normas, guías y procedimientos que ayudarán a las personas usuarias en el desarrollo de sus tareas.
Esta documentación está disponible en el sistema de archivos de Drive.
Metodología para la gestión de la información documentada
Los documentos se clasifican según:
- FOR: Formato o plantilla
- IT: Instrucción
- RG: Registro
- P: Políticas
- PR: Procedimientos
- PS: Proceso
- DO: Documento
- M: Manual
La estructura de los documentos se compone básicamente, de:
- ENCABEZAMIENTO: donde figura:
- Logotipo de Wetak
- Nombre del documento
- Código del documento
- Nivel de revisión (la revisión 0 corresponde a la primera que se aprueba).
- Fecha última revisión.
- Categoría de la información (según lo indicado en el P-11 Política de gestión de la información)
- Número de página del total de páginas de las que se compone el procedimiento.
Las modificaciones se recogen en el cuadro de modificaciones de cada procedimiento.
Por norma, y salvo que en la propia instrucción se señale lo contrario, las instrucciones las elabora el Comité de Seguridad de la Información, con apoyo de asesor externo y los aprueba Dirección.
El Comité de Seguridad de la Información, debe asegurar que las revisiones actualizadas estén disponibles donde se necesiten para el funcionamiento efectivo del SGSI.
Las copias de seguridad de los documentos que forman el SGSI se realizan según lo indicado en la P07 – Política de copias de seguridad.
Datos de carácter personal
Wetak trata datos de carácter personal. Para garantizar la adecuada protección de estos datos, existe el análisis de riesgos de datos de carácter personal y el registro de actividades de tratamiento así como otros documentos que detallan las medidas de seguridad aplicada a estos datos, cumpliendo con las normativas vigentes en materia de protección de datos.
Todos los sistemas de información que traten datos de carácter personal en Wetak se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos de carácter personal y la finalidad.
Concienciación y formación
Wetak, siguiendo el principio de Seguridad Integral del ENS tiene como objetivo que el personal tenga una plena conciencia de la seguridad de la información en todas las actividades que realizan. Por ello, Wetak se compromete a disponer de los medios necesarios para asegurar que todas las personas que intervienen en los procesos y sus responsables, desarrollen una sensibilidad y comprensión adecuadas hacia los riesgos asociados a la seguridad de la información y la disponibilidad de los servicios.
Para alcanzar este objetivo, Wetak implementará las siguientes acciones:
- Programas de concienciación:
- Boletines de concienciación por email.
- Realización de sesiones de concienciación obligatorias para todo el personal cuando se considera necesario para reforzar ciertos temas de seguridad.
- Programas continuos de concienciación para mantener a todos los miembros de la organización actualizados sobre los riesgos y mejores prácticas en seguridad de la información a través de Alejandría.
- Formación continua:
- Formación específica para el personal con responsabilidades en el uso, operación o administración de los sistemas TIC, asegurando que reciban la capacitación necesaria antes de asumir sus responsabilidades.
- Actualización periódica de la formación para reflejar los cambios en las amenazas y las mejores prácticas en seguridad.
Gestión de riesgos
El Comité de Seguridad de la Información realizará un análisis de riesgos de los sistemas de información, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá regularmente, al menos una vez al año, cuando cambie la información manejada, cuando cambien los servicios prestados, cuando ocurra un incidente grave de seguridad, o cuando se reporten vulnerabilidades graves.
Para la armonización de los análisis de riesgos, el Comité de Seguridad de la información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. También se encargará de poner a disposición los recursos necesarios para atender a las necesidades de seguridad de los diferentes sistemas.
Aprobación y entradas en vigor
Esta política de seguridad ha sido aprobada el 16 de octubre del año 2024 por la Dirección de Wetak. Es efectiva desde dicha fecha y permanecerá vigente hasta su reemplazo por una nueva política. Se revisará anualmente y se actualizará si es necesario.