Política de Seguridad de la Información ENS

1. Aprobación y Entrada en Vigor

Texto aprobado el día 06 de septiembre de 2024 por la Dirección de nettaro. Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva política.

2. Introducción

nettaro depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad , integridad,  confidencialidad,  autenticidad o trazabilidad de la información tratada o los servicios prestados. 

El objetivo de la Seguridad de la Información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes. 

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. 

Esto implica que se deben aplicar las medidas de seguridad exigidas por el Esquema Nacional de Seguridad y la Ley Orgánica de Protección de Datos y Reglamento Europeo de Protección de Datos, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados. 

nettaro debe cerciorarse de que la seguridad de la información es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

nettaro debe estar preparada para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Esquema Nacional de Seguridad y a la Ley Orgánica de Protección de Datos.  

Esta Política de Seguridad sigue las indicaciones de la guía CCN-STIC-805 del Centro Criptológico Nacional, centro adscrito al Centro Nacional de Inteligencia.  

2.1. Prevención

nettaro debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello se debe implementar las medidas mínimas de seguridad determinadas por el ENS, RGPD y la LOPD, así como cualquier control adicional identificado a través de una evolución de amenazas y riesgos.  

Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentos.   

Para garantizar el cumplimiento de la política, nettaro debe:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente. 

2.2. Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.  

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales. 

2.3. Respuesta

nettaro:

  • Establece mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designa un punto de contacto para la comunicaciones con respecto a incidentes detectados.
  • Establece protocolos para el intercambio de información relacionada con el incidente con clientes y proveedores.

2.4. Recuperación

Para garantizar la disponibilidad de los servicios críticos, nettaro desarrolla planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación. 

3. Alcance

“Los sistemas de información que dan soporte a la prestación de los Servicios TI:  Observabilidad y Monitorización de Aplicaciones (APM), Gestión de Activos de Software (SAM), Ciberseguridad, Arquitectura y Servicios Gestionados CLOUD” .  Según el documento de categorización vigente. 

4. Misión

La Dirección de nettaro, consciente del compromiso que contrae con sus clientes y la importancia del cuidado de la seguridad integral, ha establecido en su organización un Sistema de Gestión de la Seguridad de la Información basado en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, atendiendo a los siguientes objetivos: 

  • La información debe recibir un nivel adecuado de protección en base a unas directrices de clasificación (según su valor, los requisitos legales, la sensibilidad y la criticidad).
  • La seguridad de la información tiene en cuenta el cumplimiento de la legislación vigente y los requisitos contractuales.
  • Las medidas de seguridad deben aplicarse con un enfoque orientado a la gestión de riesgos, con el objetivo y cumpliendo con los requisitos de seguridad en sus cinco dimensiones (confiabilidad, integridad, disponibilidad, autenticidad y trazabilidad).
  • La Seguridad de la Información es responsabilidad de todo el personal de nettaro, que debe estar formado y concienciado para el satisfactorio cumplimiento de sus responsabilidades.
  • Todo el personal de la empresa debe guardar confidencialidad de la información a la que pueda tener acceso, así como la obligación de cumplir con las normas de seguridad implementadas y los controles establecidos.
  • La Dirección establece los recursos necesarios para un mantenimiento eficaz del Sistema de Gestión de la Seguridad de la Información.
  • La Seguridad de la Información de nettaro es periódicamente evaluada y revisada, para contribuir a la minimización de los riesgos y mejora continua del proceso de seguridad, así mismo, se realizan auditorias para garantizar la eficacia del Sistema de Gestión de la Seguridad de la Información.

5. Marco Normativo

Según la legislación vigente, las leyes aplicables a nettaro en materia de Seguridad de la Información son: 

  • ISO/IEC 27001:2022 Sistemas de Gestión de la Seguridad de la Información. Requisitos.
  • ISO/IEC 27002:2022 Control de la Seguridad de la Información.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Real Decreto 1720/2007, de 21 de diciembre, Protección de Datos de Carácter Personal.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

Adicionalmente, nettaro cuenta con el registro R13-A Requisitos Legales, donde se identifican y gestionan todos los requisitos legales aplicables a la organización, asegurando su cumplimiento normativo en materia de seguridad de la información y protección de datos. 

6. Organización de la Seguridad

6.1. Comité de Seguridad

El Comité de Seguridad coordina la Seguridad de la Información en nettaro:

El Comité de Seguridad reportará a la organización y estará formado por: 

  • Dirección (JR)
  • Responsable de la Información (JR)
  • Responsable de Sistemas (DV)
  • Responsable de Servicios (IP)
  • Responsable de Seguridad (IP)
  • Business Office Manager (CD)

El Comité de Seguridad tendrá las siguientes funciones: 

  • Promover la mejora continua del Sistema de Gestión de Seguridad de la Información.
  • Velar por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial.
  • Velar por el alineamiento de las actividades de seguridad y los objetivos  de la organización.
  • Revisar regularmente la Política de Seguridad de la Información.
  • Informar regularmente del estado de la seguridad de la información.
  • Resolver los conflictos de responsabilidad que puedan aparecer.

6.2. Roles: Funcionales y Responsabilidades

6.2.1. Responsable de la Información

  • Encargado de determinar los requisitos de seguridad de la información tratada, aprobando los niveles de seguridad de la información.
  • El desarrollo, implementación y mantenimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI) conforme a lo establecido en el Esquema Nacional de Seguridad.
  • La supervisión y evaluación de riesgos de seguridad de la información.
  • La coordinación de acciones para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
  • La colaboración con las autoridades competentes y el punto de contacto del Esquema Nacional de Seguridad.
  • Aceptación del riesgo residual.

6.2.2. Responsable de Seguridad de la Información

  • Determina las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de la información y de los servicios.
  • Mantener la seguridad de la Información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la Política de Seguridad de la organización.
  • Determinar la categoría del sistema.
  • Elaborar la Declaración de Aplicabilidad.
  • Medidas de seguridad adicionales.
  • Elaborar el análisis de riesgos.
  • Elaborar la configuración de la seguridad.
  • Documentación de Seguridad del Sistema.
  • Aprobar los procedimientos operativos de seguridad.
  • Reporta el estado de seguridad del sistema. 
  • Elabora los planes de mejora de la seguridad.
  • Elabora planes de concienciación y formación.
  • Validad los planes de continuidad.

6.2.3. Responsable de Sistemas

  • Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y Sistema de Gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas especificas de seguridad se integran adecuadamente dentro del marco general de seguridad.
  • El Responsable de Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el Responsable de la Seguridad, antes de ser ejecutada. 
  • Elaborar los procedimientos operativos de seguridad.
  • Elaborar los planes de mejora de la seguridad y los planes de continuidad. 
  • Suspensión temporal del servicio.
  • Elabora el ciclo de vida.

6.2.4. Responsable de Servicios

  • Valora las consecuencias de un impacto negativo sobre la seguridad de los servicios. Esta valoración se efectúa atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respecto de la legalidad y los derechos de los ciudadanos.
  • Coordinar la planificación, ejecución y seguimiento de los servicios prestado en la organización.
  • Garantizar que los servicios prestados cumplen con los estándares de seguridad establecidos por el Esquema Nacional de Seguridad.
  • Colaborar con el Responsable de Seguridad de la Información en la gestión de riesgos y la respuesta a incidentes relacionados con los servicios.
  • Determinación de los niveles de seguridad requeridos en cada dimensión.
  • Aceptación del riesgo residual.

6.3. Procedimiento de Designación

El procedimiento de designación se detalla a continuación:

  • Responsable de la Información, reportará al Comité de Seguridad.
  • Responsable de Seguridad, reportará a la Dirección.
  • Responsable de Sistemas reportará a la Dirección.
  • Responsable de Servicios, reportará a la Dirección.

6.4. Política de Seguridad de la Información

Será misión de la Dirección y/o Comité de Seguridad la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de esta. La política será aprobada por la organización y difundida para que la conozcan todas las personas afectadas.

7. Datos de Carácter Personal

Será misión de la Dirección y/o Comité de Seguridad la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de esta. La Ley Orgánica de Protección de Datos (LOPD) y el RGPD, tratan de garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar, y resulta de aplicación a los datos de carácter personal registrados tanto informáticamente como en soporte papel. 

El documento de seguridad que regula la normativa de protección de datos “Documento de Seguridad de la LOPD/RGPD” se puede encontrar en su carpeta correspondiente. Dicho documento recoge los tratamientos correspondientes. 

Todos los sistemas de información de nettaro se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.

Para garantizar dicha protección, se han adoptado las medidas de seguridad que se correspondan con las exigencias previstas en la legislación de aplicación.

Todo usuario interno o externo que, en virtud de su actividad profesional, pudiera tener acceso a datos de carácter personal, está obligado a guardar secreto sobre los mismos, deber que se mantendrá de manera indefinida, incluso más allá de la relación laboral o profesional con nettaro. 

8. Gestión de Riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá: 

  • Regularmente, al menos una vez al año.
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves. 

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.  

El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.  

9. Desarrollo de la Política de Seguridad de la Información

9.1. Las Directrices para la Estructuración de la Documentación de Seguridad del Sistema, Su Gestión y Acceso

La documentación del sistema de gestión está estructurada de forma piramidal, en cuya parte superior se encuentra esta política.

Un Manual, que describe cómo se da cumplimiento a los diferentes puntos del Esquema Nacional de Seguridad y que referencia a los documentos que desarrollan cada apartado.

Instrucciones Técnicas de Seguridad, que describen las políticas de seguridad aplicadas a los sistemas de la organización

Por último, los  registros que sirven como evidencia para demostrar el cumplimiento de los requisitos establecidos en el Esquema Nacional de Seguridad.

Los  documentos se encuentran compartidos con los miembros pertinentes de la organización a través de las carpetas de red a las que pueden acceder en modo solo lectura y que administra el responsable de Sistemas de Seguridad.

Esta Política de Seguridad de la Información complementa las políticas de seguridad de nettaro en diferentes materias:  

  • POL-01 Política de Seguridad de la Información (ISO 27001).

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.  

La normativa de seguridad estará disponible en la página web https://www.nettaro.com/ e impresa en la cartelera informativa en las oficinas de la organización.

10. Obligaciones del Personal

Todos los miembros de nettaro tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad y/o la Dirección disponer los medios necesarios para que la información llegue a los afectados.  

Todos los miembros de nettaro recibirán concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de nettaro en particular a los de nueva incorporación.  

Las personas con responsabilidad en el uso, operación o administración de sistemas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo. 

11. Terceras Pastes

Cuando nettaro preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.  

Cuando nettaro utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política. 

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante. 

En Madrid, a 06 de septiembre de 2024

 Director General de nettaro.