1. Introducción
BeOneSec dispone de sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con rapidez a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica aplicar las medidas mínimas de seguridad exigidas, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguimiento y análisis de las vulnerabilidades reportadas, y preparación de una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Las diferentes unidades organizativas deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC. Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.
A través de esta Política de Seguridad se establecen los siguientes principios básicos:
- Garantiza que los Sistemas de Información de que dispone BeOneSec poseen el adecuado nivel de ciberseguridad y resiliencia.
- Sensibiliza a todas las personas trabajadoras y colaboradores acerca de los riesgos de ciberseguridad y garantiza que disponen de los conocimientos, habilidades, experiencia y capacidades tecnológicas necesarias para sustentar los objetivos de ciberseguridad de la empresa.
- Potencia las capacidades de prevención, detección, reacción, análisis, recuperación, respuesta, investigación y coordinación frente a las nuevas amenazas.
- Impulsa la existencia de mecanismos de ciberseguridad y resiliencia adecuados para los sistemas y operaciones.
- Se dota de procedimientos y herramientas que permiten adaptarse con agilidad a las condiciones cambiantes del entorno tecnológico y a las nuevas amenazas.
- Colabora con los organismos y agencias gubernamentales relevantes para la mejora de la ciberseguridad de la compañía, el cumplimiento de la legislación vigente y contribuye a la mejora de la ciberseguridad en el ámbito internacional.
2. Alcance
Esta política se aplica a los sistemas de información que dan soporte a los Servicios de ciberseguridad. de acuerdo a la categorización del sistema (categoría media del ENS) y declaración de aplicabilidad en la ISO27001.
La Política de Seguridad afecta a todos los miembros de la empresa involucrados en esta gestión y será difundida dentro de la organización a efectos de conocimiento y aplicación por todos sus miembros.
3. Objetivos
- Alcanzar un nivel de seguridad medio según el estándar ENS
- Alcanzar un nivel de madurez en cada una de las medidas entre L3 y L5 tanto en ENS como en ISO27001
4. Misión, visión y principios
4.1. Misión
Proporcionar servicios de ciberseguridad – dentro del marco de nuestros principios – a través de la utilización de medios tecnológicos, técnicos y humanos del más alto nivel, de forma rentable y que permitan satisfacer las necesidades regulatorias y de seguridad garantizando un entorno seguro alineado con los objetivos empresariales y/o de servicio de nuestro cliente.
4.2. Visión
Empresa especializada en ciberseguridad que ofrece sus servicios tanto a entidades privadas como a instituciones y organismos públicos, y cuyas personas trabajadoras y colaboradores se mueven por los más altos códigos éticos basados en los principios del llamado “Hacking Ético”.
4.3. Principios
- Mantener un alto grado de compromiso con los objetivos y necesidades de nuestros clientes.
- Mantener un elevado nivel de calidad en nuestras actuaciones trabajando con un alto grado de rigor y solvencia.
- Mantener a ultranza la confidencialidad de los datos suministrados por los clientes y los resultantes de los trabajos.
- Aplicar estrictos principios de responsabilidad y ética profesional en nuestra relación y trabajos con los clientes
5. Marco normativo
Para la construcción del Sistema de Gestión de la Seguridad de la Información se tendrán en cuenta los requisitos aplicables de la legislación vigente.
Se dispondrá de un procedimiento para mantener actualizado el marco normativo.
6. Organización de la seguridad
6.1. Roles: Funciones, Responsabilidades y designación de responsables
Para la gestión del sistema se han considerado tres grandes bloques de responsabilidad:
- La responsabilidad legal y la especificación de las necesidades o requisitos, que corresponde a la Dirección y al Responsable de la Información y del Servicio.
- La supervisión, que corresponde al Responsable de la Seguridad.
- La operación del sistema de información, que corresponde al Responsable del Sistema.
Estos roles además de las funciones generales establecidas en esta política llevarán a cabo las funciones y tareas que se especifican en los diversos procedimientos.
- El Comité de Dirección, ejerce como comité de seguridad corporativa.
- Ejerce y asume todas las funciones y responsabilidades de alto nivel en relación con el sistema de gestión de la información.
- Aprueba la política de seguridad y vela por el cumplimiento de los procedimientos en materia de seguridad del sistema.
- Responsable del logro de los objetivos.
- Máximo responsable de la implantación y seguimiento del sistema de seguridad de conformidad con el ENS y la norma ISO27001.
- Responsable de la información y del servicio / Propietario del Riesgo
- Determina los requisitos de seguridad de la información tratada.
- Valora las consecuencias de un impacto negativo sobre la seguridad de la información atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los interesados.
- Determina los requisitos de seguridad de los servicios prestados.
- Establece las especificaciones de seguridad en el ciclo de vida de los sistemas, acompañadas de los correspondientes procedimientos de control.
- Valora las consecuencias de un impacto negativo sobre la seguridad de los servicios atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos.
- Es el responsable último del uso que se haga de la información manejada en los servicios incluidos en el alcance de la Política de Seguridad y, por tanto, de su protección. Es el responsable último de cualquier error o negligencia que conlleve un incidente de confidencialidad, de integridad (en materia de protección de datos) o de disponibilidad (en materia de seguridad de la información).
- Reporta directamente al comité de dirección.
- Responsable de Seguridad
- Adopta las decisiones de seguridad necesarias para garantizar los requisitos establecidos tanto en la política de seguridad como por los establecidos por el responsable de información y del servicio.
- Es responsable de estar al tanto de cambios normativos (leyes, reglamentos o prácticas sectoriales) que afecten a la organización, debiendo informarse de las consecuencias para las actividades de la empresa, alertando al Comité dirección y al responsable de la información y proponiendo las medidas oportunas de adecuación al nuevo marco.
- Es el responsable de la toma de decisiones día, en especial en caso de incidencias que tengan repercusión fuera de la organización y en caso de desastres.
- Coordina todas las actuaciones relacionadas con cualquier aspecto de la seguridad de la empresa en caso de desastre.
- Es responsable de la redacción de los procedimientos y normas relativos a la seguridad de la empresa.
- Es responsable de la elaboración de un análisis de riesgos de los sistemas, análisis que será presentado al Comité de Dirección para su aprobación. Este análisis debe actualizarse al menos una vez al año.
- Es responsable de que se ejecuten regularmente verificaciones de seguridad según un plan determinado y aprobado por el Comité de Dirección. Los resultados de estas inspecciones se presentarán al Comité de Dirección para su conocimiento y aprobación. Si como resultado de la inspección aparecen incumplimientos, propondrá medidas correctoras que presentará al Comité de Dirección para su aprobación, responsabilizándose de que sean llevadas a cabo.
- Elabora los requisitos de formación y calificación de los distintos tipos de usuario del servicio desde el punto de vista de la seguridad.
- Es responsable de identificación de tareas de administración y operación que garanticen la satisfacción de los criterios y requisitos de segregación de tareas.
- Es el interlocutor oficial con otras organizaciones.
- Es el responsable de coordinar la respuesta ante incidentes que desborden los casos previstos y procedimentados.
- Promueve la formación y concienciación en materia de seguridad de todas las personas de la organización.
- Reporta directamente al comité de dirección.
- Responsable del sistema
- Se encarga de la operación del sistema de información, según los parámetros definidos por el responsable de seguridad.
- Desarrolla, opera y mantiene los sistemas de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación, y verificación del funcionamiento correcto.
- Establece la topología y gestión del sistema, define criterios de uso y disponibilidad.
- Asegura que las medidas de seguridad están integradas en el sistema.
- Reporta tanto al responsable de la información como al responsable de seguridad.
6.2. Procedimiento de Designación
Todos los nombramientos se aprueban por el Comité de Dirección.
Los nombramientos se revisan de forma periódica cada dos años y siempre que alguno quede vacante.
Para el nombramiento de las personas, se tomará en cuenta los aspectos siguientes:
- Experiencia mínima de dos años en materia de seguridad en todas las fases del su ciclo de vida.
- Formación en materia de seguridad (acreditada mediante la asistencia a cursos, charlas, jornadas).
7. Política de seguridad de la información
Será misión del Comité de Dirección la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de esta.
La Dirección de la empresa muestra su compromiso con la política de seguridad y para ello, de forma anual o cada vez que haya un cambio en la empresa a nivel organizativo o en su entorno tecnológico, se procederá a la revisión completa del sistema y se fomentará la comunicación e información de esta a la totalidad de la organización.
8. Resolución de conflictos entre los diversos intervinientes
Los conflictos que puedan surgir entre los diversos roles serán tratados en el comité de dirección, que adoptará las medidas oportunas.
La persona que detecte o considere que existe un conflicto, enviará comunicación al comité de dirección con la descripción del conflicto y las medidas que se podrían tomar para resolverlo. El comité de dirección pedirá información al resto de miembros implicados en el conflicto y tras el análisis correspondiente adoptará las decisiones correspondientes para su resolución.
9. Análisis y gestión de riesgos
Se considera el análisis de riesgos fundamental para la gestión de la seguridad de los sistemas de información. Se procederá a realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
- regularmente, al menos una vez al año
- cuando cambie la información manejada
- cuando cambien los servicios prestados
- cuando ocurra un incidente grave de seguridad
- cuando se reporten vulnerabilidades graves
Para la armonización de los análisis de riesgos, el Comité de Dirección de BeOneSec establece como referencia un nivel de riesgo Medio para los diferentes tipos de información manejados y los diferentes servicios prestados, incluyendo los sistemas y la infraestructura que los soportan.
El Comité de Dirección de BeOneSec dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
En BeOneSec se adopta la metodología MAGERIT v3 (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información elaborada por el Consejo Superior de Administración Electrónica) para analizar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deban adoptarse en la mejora de su control. En el análisis de riesgos se valorarán las salvaguardas presentes en la fecha de aprobación del plan de adecuación.
10. Gestión de personas
La formación e información de todas las personas de la organización en materia de seguridad, así como en los deberes y obligaciones que se derivan de su puesto de trabajo es un elemento básico del sistema.
El plan de formación tendrá como finalidad asegurar el conocimiento de todas las personas tanto en los procesos, procedimientos y normas de seguridad del sistema, como en las mejores prácticas en materia de seguridad.
El plan de comunicación mantendrá informado a todas las personas trabajadoras acerca de las actualizaciones del sistema.
Tanto el plan de formación como la comunicación se llevarán a cabo utilizando los sistemas de Microsoft365. En la formación por TEAMS el listado de participantes queda archivado en la misma aplicación. Siempre que sea posible se procederá a la grabación de la acción formativa a fin de poderla visualizar con posterioridad, para ello se solicitará a los asistentes su conformidad con dicha grabación.
Teniendo en cuenta la actividad desarrollada por la empresa el trabajo en remoto es la forma de trabajo habitual.
11. Profesionalidad
En la definición de los roles y el nombramiento de las personas se ha tomado en cuenta la formación previa de cada uno de los responsables.
El plan de formación y concienciación establecerá un programa de formación continua para los responsables que permita estar adaptado a la cambiante realidad en esta materia.
12. Autorización y control de accesos
El acceso al sistema de información de gestión de proyectos, así como el acceso a los datos y demás documentación estará sometido al proceso de autorización establecido en el procedimiento vigente.
13. Protección de las instalaciones
Al disponer de toda la información en la nube, la protección está delegada en el proveedor del servicio.
Los documentos en papel se encuentran en armarios bajo llave.
14. Adquisición de productos
Las compras se efectuarán siguiendo el procedimiento vigente en cada momento, todos los equipos y compras se ajustarán al nivel medio de seguridad fijado por esta política.
15. Seguridad por defecto
El sistema está diseñado para que los usuarios tengan los mínimos privilegios necesarios para el uso de las aplicaciones. El acceso a los sistemas se realizará mediante usuario y contraseña con doble factor de autenticación.
Los usuarios tienen acceso sólo a los sitios, carpetas y documentos que necesitan para su uso. La documentación relativa al sistema está disponible para todos los usuarios en modo solo lectura.
16. Integridad y actualización del sistema
Las actualizaciones del sistema requerirán de la autorización formal previa antes de su instalación para ello, se seguirá el procedimiento de establecido para la gestión del seguimiento e incidencias.
17. Protección de la información almacenada y en tránsito
Toda la información debe estar almacenada en los servidores establecidos al efecto, la descarga de información en los equipos portátiles estará limitada al mínimo tiempo necesario para llevar a cabo la actividad concreta que se esté realizando con dichos documentos.
18. Prevención ante otros sistemas de información interconectados
No se dispone de sistemas de información interconectados.
19. Registro de la actividad
Toda la actividad que afecte a derechos personales quedará registrada y se efectuará un seguimiento periódico de la misma a fin de garantizar su fiel cumplimiento.
20. Incidentes de seguridad
El procedimiento de gestión del seguimiento e incidentes establece la forma en la que se llevan a cabo la gestión de los incidentes, su análisis y la puesta en marcha de las medidas para su resolución.
21. Continuidad de la actividad
Al disponer de sistemas en la nube las copias de seguridad están automatizadas. Se establece un procedimiento que determine la forma en la que se llevan a cabo dichas copias y su recuperación.
22. Mejora continua
Para la mejora continua se establece una revisión periódica del sistema, de forma que cada procedimiento indica en que fechas deben ser obligatoriamente revisados con objeto de analizar su adecuación a las mejores prácticas existentes y a la realidad del funcionamiento de la organización.
Asimismo, todo incidente se utilizará para obtener lecciones aprendidas y modificar los procesos y procedimientos que se vean afectados.
23. Datos de carácter personal
Los principios establecidos por la legislación vigente en materia de protección de datos de carácter personal, de forma que se garantice el cumplimiento de dicha normativa. Dichos principios son:
- Principio de licitud. Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento explícito del interesado o sobre otra base o fundamento jurídico.
- Principio de lealtad. No pueden recabarse datos personales por medios fraudulentos (esto es, no podrán utilizase medios o métodos engañosos) desleales (que den lugar a una discriminación injusta o arbitraria contra los titulares) e ilícitos (es decir, que sean ilegales, estén fuera o al margen de la Ley).
- Principio de transparencia. Exige que toda información y comunicación relativa al tratamiento de datos personales sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.
- Principio de limitación de la finalidad. Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados, posteriormente, de manera incompatible o distinta con dichos fines.
- Principio de minimización de datos. Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados, posteriormente, de manera incompatible o distinta con dichos fines.
- Principio de exactitud. Los datos deben ser exactos y, si fuera necesario, actualizados. Deben adoptarse todas las medidas razonables para corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.
- Principio de limitación del plazo de conservación. No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. Deben establecerse plazos para la supresión o revisión periódica.
- Principio de integridad y confidencialidad. Debe garantizarse una seguridad adecuada para preservar la integridad de los datos e impedir el acceso o uso no autorizado. Todas las personas que intervengan en cualquier fase del tratamiento están sujetas a guardar secreto o confidencialidad con carácter indefinido.
- Principio de responsabilidad proactiva. Se establece que son los responsables del tratamiento de datos personales quienes, además de aplicar las medidas para cumplir la normativa, deben preocuparse por garantizar y demostrar que, en efecto, las aplican y cumplen.
Todas las personas trabajadoras de la empresa tienen la obligación de respetar y aplicar estos principios en su ámbito de responsabilidad, de acuerdo con lo detallado en el código de conducta de la empresa.
Se establecerá un procedimiento específico en materia de protección de datos, siempre que tras el análisis inicial resulte necesario.
24. Documentación del sistema
Tanto la presente policía como los diversos documentos, procesos, procedimientos, guías e instrucciones estarán ubicados en la intranet habilitada al efecto.
El procedimiento de gestión documental establece las diversas tipologías de documentos, la forma de aprobación, revisión y la ubicación de dichos documentos.
25. Obligación de todas las personas que trabajan en la organización
Todas las personas trabajadoras de la organización tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Dirección de BeOneSec disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de BeOneSec, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
El plan anual de formación de la empresa incluirá los cursos y charlas periódicas en materia de seguridad.
26. Terceras partes
La política de seguridad estará disponible para todas las terceras partes implicadas, para lo cual se procederá a facilitarle un acceso directo y permanente a la misma.
Cuando BeOneSec preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Responsables de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
Fdo. Fernando Ramos
CEO
