Versión del documento: 2
Fecha: 28/12/2022
Calificación: Uso Público
1. APROBACIÓN Y ENTRADA EN VIGOR
Texto aprobado el día 28 de diciembre de 2022 por el Comité de Seguridad y la Dirección de Redytel.
Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
Este texto anula el anterior, que fue aprobado el día 28 de enero de 2021 por el Comité de Seguridad.
2. PROCEDIMIENTO DE EVALUACIÓN CONTINUA DE LA POLÍTICA DE SEGURIDAD
La presente política de seguridad seguirá un proceso de evaluación continua. El comité de seguridad TIC realizará una evaluación y, en su caso, una revisión y versionado del misma:
- Con una periodicidad mínima anual, mediante convocatoria del comité de seguridad.
- Ante la solicitud expresa por alguno de los miembros del comité.
- Ante la solicitud por parte de alguno de los responsables de Redytel al Responsable de Seguridad. En este caso, el Responsable de Seguridad, valorará la conveniencia de convocar al comité con este propósito.
3. INTRODUCCIÓN
Redytel depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS.
3.1 PREVENCIÓN
Los departamentos de Redytel deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, Redytel debe:
- Autorizar los sistemas antes de entrar en operación.
- Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
3.2 DETECCIÓN
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
3.3 RESPUESTA
Para ello, Redytel:
- Establece mecanismos para responder eficazmente a los incidentes de seguridad.
- Designa un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
- Establece protocolos para el intercambio de información relacionada con el incidente.
3.4 RECUPERACIÓN
Para garantizar la disponibilidad de los servicios críticos, Redytel ha desarrollado planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.
4. ALCANCE
Esta política se aplica a todos los sistemas TIC de Redytel y a todos los miembros de la organización, sin excepciones.
5. MISIÓN
Redytel es una compañía vizcaína, con una gran experiencia en servicios de mantenimiento y soporte de infraestructuras IT y en la comunicación de datos. La misión de la compañía es la siguiente:
- Conseguir que las infraestructuras IT de sus clientes evolucionen y cumplan con las necesidades funcionales de las compañías.
- Implantar y operar herramientas de monitorización y automatización de tareas sobre la infraestructura IT: iTUC, iTUCMaaS e Iturbide.
- Aportar soluciones a la automatización de procesos para comunicar y poner en valor los datos de negocio.
6. MARCO NORMATIVO
Tanto la normativa de seguridad de Redytel como la presente política se enmarca en el siguiente marco legal y regulatorio:
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
- Real Decreto-ley 2/2018, de 13 de abril, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual.
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
En todo caso, en Redytel existe un procedimiento de identificación de la legislación aplicable en el cual se identifican y actualizan todas las normativas relacionadas con la ciberseguridad y protección de datos.
7. ORGANIZACIÓN DE LA SEGURIDAD
7.1 COMITÉS: FUNCIONES Y RESPONSABILIDADES
El comité de seguridad TIC es el órgano con mayor responsabilidad dentro del sistema de gestión de seguridad de la información, de forma que todas las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité.
El comité de seguridad es un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones y que no tiene que subordinar su actividad a ningún otro elemento de REDYTEL.
Los miembros del comité de seguridad TIC son:
- Responsable de la información.
- Responsable del servicio.
- Responsable de la seguridad.
- Responsable del sistema.
- Dirección Empresa.
El Secretario del Comité de Seguridad será el Responsable de Seguridad y tendrá como funciones:
- Convocar las reuniones del Comité de Seguridad.
- Preparar los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
- Es responsable de la ejecución directa o delegada de las decisiones del Comité.
El comité de seguridad tendrá las siguientes funciones:
- Atender a las inquietudes de seguridad de la entidad y de los diferentes departamentos.
- Coordinar todas las funciones de seguridad de la Organización.
- Velar por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial.
- Velar por el alineamiento de las actividades de seguridad y los objetivos de la Organización.
- Es responsable de la elaboración y evolución de la Política de seguridad Corporativa, aprobada por la Dirección.
- Aprobar las políticas de seguridad, presentadas por el responsable de seguridad.
- Aprobar la normativa de seguridad de la información.
- Es responsable de la creación y aprobación de las normas que enmarcan el uso de los servicios TIC.
- Aprueba los procedimientos de actuación en lo relativo al uso de las TIC.
- Aprueba los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de la seguridad de las TIC.
- Monitorizar todos los procesos relacionados con la seguridad.
- Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación.
- El comité de seguridad se asesorará de los temas sobre los que tenga que decidir o emitir una opinión. Este asesoramiento se determinará en cada caso, pudiendo materializarse de diferentes formas y maneras:
- Grupos de trabajo especializados internos, externos o mixtos.
- Asesoría externa.
- Asistencia a cursos u otro tipo de entornos formativos o de intercambio de experiencias.
- Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
7.2 ROLES: FUNCIONES Y RESPONSABILIDADES
Las funciones y responsabilidades de los diversos participantes en el comité de seguridad de Redytel se detallan a continuación:
Responsable del Servicio:
- Establecer los requisitos del servicio en materia de seguridad, incluyendo los requisitos de interoperabilidad, accesibilidad y disponibilidad.
- Determinar los niveles de seguridad de los servicios.
- Aprobar formalmente el nivel de seguridad del servicio.
Responsable de la Información:
- Velar por el buen uso de la información y, por tanto, de su protección.
- Ser responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
- Establecer los requisitos de la información en materia de seguridad.
- Determinar los niveles de seguridad de la información.
- Aprobar formalmente el nivel de seguridad de la información.
Responsable de Seguridad:
- Mantener el nivel adecuado de seguridad de la información manejada y de los servicios prestados por los sistemas.
- Realizar o promover las auditorías periódicas a las que obliga el ENS para verificar el cumplimiento de los requisitos del mismo.
- Gestionar la formación y concienciación en materia de seguridad TIC.
- Comprobar que las medidas de seguridad existentes son las adecuadas para las necesidades de la entidad.
- Revisar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.
- Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.
- Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución, emitiendo informes periódicos sobre los más relevantes al Comité.
Responsable del Sistema:
- Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, desde la especificación, instalación hasta el seguimiento de su funcionamiento.
- Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles del mismo.
- Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.
- Puede proponer la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.
- En Redytel, por dimensión, la figura de Administrador de la Seguridad del sistema, desarrollada a continuación, recaerá sobre el responsable del sistema.
Administrador de la Seguridad del Sistema:
- La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al Sistema de Información.
- La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del Sistema de Información.
- La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.
- La aplicación de los Procedimientos Operativos de Seguridad.
- Aprobar los cambios en la configuración vigente del Sistema de Información.
- Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
- Asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.
- Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
- Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.
- Informar a los Responsables de la Seguridad y del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
- Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.
7.3 PROCEDIMIENTOS DE DESIGNACIÓN
El Responsable de Seguridad de la Información será nombrado por la Dirección a propuesta del Comité de Seguridad TIC. El nombramiento se revisará cada 5 años o cuando el puesto quede vacante.
El resto de los miembros del Comité de Seguridad serán designados por el propio Comité, único órgano que puede nombrarlos, renovarlos o cesarlos, y sus nombramientos se revisarán cada 5 años o cuando el puesto quede vacante.
7.4 RESOLUCIÓN DE CONFLICTOS
Redytel desarrolla su actividad con plena observancia de los principios de eficacia, jerarquía, descentralización, desconcentración y coordinación y, en ese sentido, los conflictos entre los distintos elementos de la organización serán resueltos por el superior jerárquico.
Como se ha indicado dentro de las funciones del comité de seguridad TIC, este comité será el encargado de resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir. Para ello, ante la aparición de un conflicto, los responsables afectados deberán dirigirse al Responsable de Seguridad por escrito indicando la causa y los diferentes responsables o áreas afectadas. Entonces, si fuera necesario, el Responsable de Seguridad convocará una reunión del comité de seguridad TIC de cara a tratar el tema, resolverlo o, en su caso, elevarlo a la dirección.
7.5 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Será misión del Comité de Seguridad TIC la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la Dirección y difundida para que la conozcan todas las partes afectadas.
8. DATOS DE CARÁCTER PERSONAL
Redytel dispone de una política de protección de datos personales que cumple con lo exigido en las leyes y decretos, en concreto con:
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
9. GESTIÓN DE RIESGOS
Todos los sistemas sujetos a esta Política realizarán un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
- regularmente, al menos una vez al año
- cuando cambie la información manejada
- cuando cambien los servicios prestados
- cuando ocurra un incidente grave de seguridad
- cuando se reporten vulnerabilidades graves
Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
10. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Esta Política de Seguridad de la Información complementa al resto de políticas de seguridad de Redytel.
Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
La normativa de seguridad estará disponible en la intranet e impresa en el archivo de recepción y administración.
11. OBLIGACIONES DEL PERSONAL
Todos los miembros de Redytel tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de Redytel podrán atender a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de Redytel, en particular a los de nueva incorporación, si así lo desean.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
12. TERCERAS PARTES
Cuando Redytel preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando Redytel utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias.
Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.