POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1.       Aprobación y Entrada en Vigor

Esta Política de Seguridad de la Información es efectiva desde su entrada en vigor y hasta que sea reemplazada por una nueva Política.

2.       Introducción

La Política de Seguridad de la Información se elabora en cumplimiento de las siguientes exigencias legales:

  • Real Decreto 311/2022, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), que en su artículo 12 establece la obligación para las Administraciones Públicas de disponer de una Política de Seguridad e indica los requisitos mínimos que debe cumplir.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

DISPROIN depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad o trazabilidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.

Esto implica que deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

DISPROIN debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

DISPROIN debe estar preparado para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS.

2.1.     Prevención

DISPROIN debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello implementará las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.

Estos controles, y los roles y responsabilidades de seguridad de todo el personal, van a estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, se debe:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

2.2.     Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

2.3.     Respuesta

DISPROIN:

  • Establecerá mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designará un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecerá protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

2.4.     Recuperación

Para garantizar la disponibilidad de los servicios críticos, DISPROIN dispondrá de planes de continuidad de los sistemas TIC como parte de su plan general de continuidad del servicio y actividades de recuperación.

 

 

3.       Alcance

Esta Política de seguridad será de obligado cumplimiento para todos los miembros de DISPROIN, siendo aplicable a todos los activos empleados por el mismo en la prestación de los servicios a sus clientes, administraciones así como para su propia gestión y funcionamiento.

Sistemas de información que soportan los servicios de venta, instalación, asesoramiento y servicio técnico de actividades relacionadas con Tecnología de la Información, de acuerdo con la declaración de aplicabilidad en vigor.

4.       Misión

DISPROIN LEVANTE S.L., en adelante DISPROIN, se fundó en 1989 siendo una empresa pionera en el sector de la tecnología informática con capacidad para trabajar en cualquier sector empresarial. Queremos ser el socio tecnológico de las empresas para darles soluciones que las hagan más eficientes, estudiamos sus procesos de negocio y los optimizamos aplicando la tecnología más actual y sostenible. Ofrecemos soluciones a medida para nuestros clientes pues trabajamos en múltiples áreas como la venta de sistemas de impresión, infraestructuras, hardware y de servicios técnicos de instalación y mantenimiento, soluciones en la nube y licenciamientos. Nuestra venta es consultiva porque le damos el plus al cliente de asesoramiento y formación en nuevas tecnologías. En definitiva, abarcamos todos los procesos y tecnologías del sector IT.

Ofrecemos soluciones informáticas innovadoras que permitan ver las necesidades de su negocio, dando la mejor y más rápida atención, en la venta de productos y servicios a nuestros clientes. DISPROIN sugiere y planifica la inversión en tecnología informática más adecuada para nuestros clientes maximizando la productividad, minimizando su pronta obsolescencia y asegurando la continuidad operativa.

Nuestro objetivo es posicionarnos como la empresa líder en soluciones de Tecnologías de la Información logrando ser la empresa de referencia en venta de productos y servicios informáticos. Así mismo nuestra misión es ser la empresa más representativa en el mercado informático y que sea reconocida por su calidad en el servicio. Trabajamos y trabajaremos siempre para alcanzar la satisfacción de TODOS nuestros clientes.

5.       Marco Normativo

Según la legislación vigente, las leyes aplicables a DISPROIN en materia de Seguridad de la Información son:

  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la administración electrónica.
  • Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
  • Ley de Propiedad Industrial.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de comercio electrónico.

6.       Organización de la Seguridad

La implantación de la Política de Seguridad en DISPROIN requiere que todos los miembros de la organización entiendan sus obligaciones y responsabilidades en función del puesto desempeñado. Como parte de la Política de Seguridad de la Información, cada rol especifico, personalizado en usuarios concretos, debe entender las implicaciones de sus acciones y las responsabilidades que tiene atribuidas, quedando identificadas y detalladas en esta sección, y que se agrupan del modo siguiente:

  1. El Comité de Seguridad de la Información
  2. Responsable del Servicio
  3. Responsable de la Información
  4. Responsable de Seguridad de la Información
  5. Responsable de Sistemas

En los siguientes apartados se especifican las funciones atribuidas a uno de estos roles.

6.1.     Comité de seguridad de la información

El Comité de Seguridad de la Información coordina la seguridad de la información en DISPROIN. Dicho Comité está compuesto por cada una de las figuras anteriormente mencionadas.

Las funciones del Comité de Seguridad de la Información son las siguientes:

  • Revisión y aprobación de la Política de Seguridad de la Información y de las responsabilidades principales.
  • Definir e impulsar la estrategia y la planificación de la seguridad de la información proponiendo la asignación de presupuesto y los recursos precisos.
  • Supervisión y control de los cambios significativos en la exposición de los activos de información a las amenazas principales, así como del desarrollo e implantación de los controles y medidas destinadas a garantizar la Seguridad de dichos activos.
  • Aprobación de las iniciativas principales para mejorar la Seguridad de la Información.
  • Supervisión y seguimiento de aspectos tales como:
  • Principales incidencias en la Seguridad de la Información.
  • Elaboración y actualización de planes de continuidad.
  • Cumplimiento y difusión de las Políticas de Seguridad.

El Secretario del Comité de Seguridad TIC será el Responsable de Seguridad y tendrá como funciones:

  • Convocar las reuniones del Comité de Seguridad de la Información.
  • Prepara los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
  • Elabora el acta de las reuniones.
  • Es responsable de la ejecución directa o delegada de las decisiones del Comité.

 

 

6.2.     Responsable de la Información

  • Tiene la potestad de establecer los requisitos, en materia de seguridad, de la información gestionada. Si esta información incluye datos de carácter personal, además deberán tenerse en cuenta los requisitos derivados de la legislación correspondiente sobre protección de datos.
  • Determina los niveles de seguridad de la información.

6.3.     Responsable del Servicio

  • Tiene la potestad de establecer los requisitos, en materia de seguridad, de los servicios prestados.
  • Determina los niveles de seguridad de la información.

6.4.     Responsable de Seguridad

Responsable de la definición, coordinación y verificación de cumplimiento de los requisitos de seguridad de la información definidos de acuerdo a los objetivos estratégicos.

Las funciones del Responsable de Seguridad de la Información son las siguientes:

  • Dirigir las reuniones del Comité de Seguridad, informando, proponiendo y coordinando sus actividades y decisiones.
  • Coordinar y controlar las medidas de seguridad de la información y de protección de datos de DISPROIN.
  • Supervisar la implantación, mantener, controlar y verificar el cumplimiento de:
  • La estrategia de seguridad de la información definida por el Comité de Seguridad.
  • Las normas y procedimientos contenidos en la Política de Seguridad de la Información de DISPROIN y normativa de desarrollo.
  • Supervisar los incidentes de seguridad producidos en DISPROIN.
  • Difundir en DISPROIN las normas y procedimientos contenidos en la Política de Seguridad de la Información y normativa de desarrollo, así como las funciones y obligaciones en materia de seguridad de la información.
  • Supervisar y colaborar en las Auditorías internas o externas necesarias para verificar el grado de cumplimiento de la Política de Seguridad, normativa de desarrollo y leyes aplicables en materia de protección de datos personales y de seguridad de la información.
  • Asesorar en materia de seguridad de la información a las diferentes áreas operativas de DISPROIN.

 

6.5.     Responsable del sistema

Es responsable de asegurar la ejecución de medidas para asegurar los activos y servicios de los sistemas de información, que soportan la actividad de DISPROIN, de acuerdo a los objetivos de la organización.

Las funciones del Responsable de Sistemas de la Información son las siguientes:

  • Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
  • Seleccionar y establecer las funciones y obligaciones a los Responsables Técnicos Informáticos encargados de personificar una gestión de la seguridad de los activos de DISPROIN, conforme a la estrategia de seguridad definida.
  • Garantizar que la implantación de nuevos sistemas y de los cambios en los existentes cumple con los requerimientos de seguridad establecidos en DISPROIN.
  • Establecer los procesos y controles de monitorización del estado de la seguridad que permitan detectar las incidencias producidas y coordinar su investigación y resolución.
  • El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el Responsable de la Seguridad, antes de ser ejecutada.

 

7.       Procedimiento de Designación

Se designan las siguientes responsabilidades:

  • Responsable del Servicio: Susana García.
  • Responsable de la Información: Susana García.
  • Responsable de Seguridad: Benito Romero.
  • Responsable del Sistema:

Los nombramientos se revisarán cada 2 años o cuando alguno de los puestos quede vacante.

El Responsable de Seguridad de la Información será nombrado por el Director General a propuesta del Comité de Seguridad TIC.

 

8.       Revisión de la Política de Seguridad de la Información

Será misión del Comité de Seguridad TIC la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por el Director General y difundida para que la conozcan todas las partes afectadas.

 

9.       Datos de Carácter Personal

La Ley Orgánica de Protección de Datos (LOPD) garantiza y protege, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar, y resulta de aplicación a los datos de carácter personal registrados tanto informáticamente como en soporte papel.

Todos los sistemas de información de DISPROIN se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.

Para garantizar dicha protección, se adoptan las medidas de seguridad que se corresponden con las exigencias previstas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD.

Todo usuario interno o externo que, en virtud de su actividad profesional, pudiera tener acceso a datos de carácter personal, está obligado a guardar secreto sobre los mismos, deber que se mantendrá de manera indefinida, incluso más allá de la relación laboral o profesional con DISPROIN.

10. Gestión de Riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

 

  • Regularmente, al menos una vez al año.
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

La gestión de riesgos quedará documentada en el informe de Análisis y gestión de riesgos.

11. Desarrollo de la Política Seguridad de la Información del Personal

Esta política de seguridad de la Información complementa las políticas de seguridad de DISPROIN en materia de protección de datos de carácter personal.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

 

12. Obligaciones del Personal

Todos y cada uno de los usuarios de los sistemas de información de DISPROIN son responsables de la seguridad de los activos de información mediante un uso correcto de los mismos, siempre de acuerdo con sus atribuciones profesionales y académicas.

Todos los miembros de DISPROIN tienen la obligación de conocer y cumplir esta política de seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Los miembros de DISPROIN recibirán formación en seguridad de la información. Se establecerá un programa de concienciación continua para atender a todos los miembros de DISPROIN, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

El incumplimiento de la presente Política de Seguridad de la Información podrá acarrear el inicio de las medidas disciplinarias que procedan, sin perjuicio de las responsabilidades legales correspondientes.

 

13. Terceras Partes

Cuando DISPROIN preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad de la Información. Se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando DISPROIN utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

 

 

14. Estructura de la documentación de seguridad

Todos los documentos que componen la documentación del Sistema de Gestión de Seguridad de la Información se gestionarán de acuerdo a lo descrito en el procedimiento PS.01 Gestión del SGS.

Se ha establecido un marco normativo en materia de seguridad de la información estructurado en diferentes niveles, de forma que los principios y los objetivos marcados en la política de seguridad de la institución tengan un desarrollo específico:

  • Primer nivel: la presente Política de Seguridad de la Información, que debe ser aprobada por Alcaldía a propuesta del Comité de Seguridad.
  • Segundo nivel: la normativa de seguridad de la información aprobada por el Comité de Seguridad de la Información en desarrollo de la Política de Seguridad de la Información. En ella se establecerán unas normas de uso aceptable de los sistemas de información Esta normativa será aprobada por el Comité de Seguridad de la Información.
  • Tercer nivel: los procedimientos de seguridad de la información, en los que se detallará la manera correcta de realizar determinados procesos de modo que se proteja en todo momento la seguridad y la información. Estos procedimientos han de ser aprobados por el Responsable de Seguridad.
  • Cuarto nivel: estándares de seguridad, instrucciones técnicas, buenas prácticas, recomendaciones, guías, cursos de formación, presentaciones, etc. Ha de ser aprobada por el Responsable de Seguridad.

 

Los documentos que integran el Sistema de Gestión de Seguridad de la Información se encuentran, en soporte digital, a disposición de todo el personal al que le sea necesario para el desempeño de las funciones relacionadas con su puesto de trabajo. Estará disponible para su consulta, sin posibilidad de modificación.