POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

[Partes interesadas]

 

1. Objetivos y misión de IFR.

IFR es una empresa pionera en el desarrollo de software y consultoría de negocio.

Desde IFR se desarrolla e implementa aplicaciones basadas en soluciones de Microsoft y se ofrece consultoría de negocio y cuadros de mando, nos adaptamos a las necesidades de los clientes y garantizamos el funcionamiento óptimo de nuestras soluciones gracias al seguimiento continuo de las implementaciones realizadas y a un servicio de atención y soporte rápido y eficaz.

En IFR salvaguardamos el conocimiento de lo que somos propietarios con mecanismos de seguridad adecuados, así como la confidencialidad de los datos de nuestros clientes, de su conocimiento o de sus instalaciones y damos respuesta profesional garantizando su confidencialidad.

En IFR garantizamos la disponibilidad de nuestros sistemas de información con mecanismos de redundancia y planes de contingencia que permiten una continuidad del desarrollo de nuestras actividades pesar se produzcan incidencias ajenas a nuestra organización.

En IFR velamos por la integridad y buena conservación de los datos que contienen nuestros sistemas de información, así como de su exactitud y veracidad.

En IFR garantizamos la identidad de los accesos a la información, así como la trazabilidad de las acciones que realiza cada una de las personas que accede a los sistemas de información, sea personal de la misma, clientes o terceras partes implicadas.

2. Objetivos y misión de la política de seguridad de la información.

IFR ha establecido un marco de gestión de la seguridad de la información basado en un estándar internacional (ISO 27001: 2013), reconociendo así, como activos estratégicos la información y los sistemas que la soportan.

Uno de los objetivos fundamentales de la implantación de este marco de referencia es establecer las bases sobre las que el personal, clientes y proveedores puedan acceder a los servicios en un entorno de gestión seguro, anticipándonos a sus necesidades, y preservando la confidencialidad de los datos.

La Política de Seguridad de la Información protege a la misma de una amplia gama de amenazas y para garantizar la continuidad de los sistemas de información, minimizar los riesgos de daños y asegurar el cumplimiento eficiente de los objetivos de IFR.

La gestión de la seguridad de la información debe garantizar el correcto funcionamiento de las actividades de control, monitorización y mantenimiento de las infraestructuras e instalaciones, necesarias para la adecuada prestación de servicios, así como de la información derivada del funcionamiento de los mismos. Para ello, se establecen los siguientes objetivos generales en materia de seguridad de la información:

•    Contribuir desde la gestión de la seguridad de la información a cumplir con la misión y objetivos establecidos por IFR.

• Disponer de las medidas de control necesarias para el cumplimiento de los requisitos legales que sean aplicables como consecuencia de la actividad desarrollada, especialmente en cuanto a la protección de datos de carácter personal y las que se derivan de la prestación de los servicios.

• Asegurar el acceso, integridad, confidencialidad, disponibilidad, autenticidad y trazabilidad de la información. Así como la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con celeridad a los incidentes.

• Proteger los recursos de información de IFR y la tecnología utilizada para su procesamiento de amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad, legalidad y fiabilidad de la información.

Esta Política de Seguridad asegura un compromiso manifiesto de IFR, para la difusión, consolidación y cumplimiento de la presente Política.

3. Alcance y ámbito de aplicación.

Las presentes disposiciones son aplicables a todos las áreas y departamentos IFR; a sus recursos y los procesos de negocio, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.

 

4. Marco normativo.

Se toma como referencia, sin carácter exhaustivo, la siguiente legislación:

• Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantías de derechos digitales.

• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

• Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

• Ley 59/2003, de 19 de diciembre, de firma electrónica.

• Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas ya las redes públicas de comunicaciones.

• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos y por lo que se deroga la Directiva 95/46 / CE (Reglamento general de protección de datos)

 

5. Organización de la Seguridad y las responsabilidades asociadas.

Todos y cada uno de los usuarios de los sistemas de información de IFR son responsables de la seguridad de los activos informáticos mediante un uso correcto de los mismos, así como de la seguridad de la información y de los datos que utilizan, siempre de acuerdo con sus atribuciones profesionales.

Sin embargo, el mantenimiento y gestión de la seguridad de los sistemas de información y de la protección de datos van íntimamente ligados al establecimiento de una organización. Esta organización se establece mediante la identificación y definición de las diferentes actividades y responsabilidades en materia de gestión de la seguridad de los sistemas de información y de la protección de datos personales, y la implantación de una estructura que las soporte. Esto queda reflejado en las definiciones de los puestos de trabajo y la documentación relacionada con la seguridad del personal referida a las buenas prácticas de la ISO 27001, del RGPD y LOPD-GDD.

5.1 Comité de seguridad.

Es el órgano que gestiona y coordina la Seguridad de los sistemas de información a nivel de organización.

El Comité de Seguridad será el encargado de velar por el cumplimiento de todos los requisitos establecidos en la ISO 27001, el RGPD y la LOPD-GDD.

El Comité de Seguridad se reunirá con carácter ordinario, al menos, una vez por trimestre. Por razones de urgencia podrá reunirse siempre que la Presidencia del Comité lo estime conveniente. Las reuniones tendrán lugar dentro de la jornada de trabajo establecida reglamentariamente.

El Comité ejercerá las siguientes funciones:

• Coordinar todas las funciones de seguridad de los sistemas de información TIC.

• Velar por el cumplimiento de las normativas de aplicación legal, regulatoria y sectorial que afecten a los sistemas de información de IFR.

• Proponer las modificaciones o revisiones de la presente Política de Seguridad que considere oportunas.

• Recabar informes regulares del estado de la seguridad y de los posibles incidentes.

• Velar por el alineamiento de las actividades de seguridad de la información y los objetivos de la organización, llevando a cabo acciones orientadas a la mejora continua de los procesos de seguridad de la información.

• Supervisión de los incidentes de seguridad y su correcta solución, analizando las causas y propuesto Acciones correctivas en su caso.

• Seguimiento y supervisión de indicadores y métricas.

• Gestión y control sobre los mecanismos de mejora continua.

• Y cualquier otra tarea que les sea encargada por la Dirección o la presente Política.

 

5.2 Responsable de Seguridad de los Sistemas de Información.

El Responsable de Seguridad es el máximo responsable de la seguridad de los sistemas de información de IFR, siendo quien determina, conjuntamente con el Comité las medidas de seguridad que deben ser implantadas y el que las supervisa de acuerdo con las buenas prácticas detalladas a la ISO 27001: 2013 (ANEXO 1).

Serán funciones del Responsable de Seguridad de los Sistemas de Información:

• Ser responsable de conocer los cambios normativos (leyes, reglamentos o prácticas sectoriales) que puedan afectar directa o indirectamente a la seguridad de los sistemas de información de la organización, debiendo informarse de las consecuencias para las actividades de la organización.

• Elaborar las pertinentes Declaraciones de Aplicabilidad de los sistemas de información.

• Llevar a cabo periódicamente auditorías para evaluar el cumplimiento de la normativa sobre seguridad y la efectividad de las medidas adoptadas.

• En caso de que se produjera alguna incidencia coordinará todas las actuaciones relacionadas con cualquier aspecto de la seguridad de los sistemas de información. Respecto las medidas de seguridad en materia de protección de datos personales:

  • Impulsar y participar en el diseño de políticas de seguridad para los sistemas de información que contengan datos.
  • Se responsabiliza de la definición, implantación y supervisión de las normas y procedimientos que afecten a todos los activos de IFR.
  • Coordinar y controlar el análisis de riesgo y los mecanismos establecidos para la gestión (Planes de tratamiento de riesgo) y las medidas de seguridad aplicadas relacionadas con la mitigación del mismo.
  • Y cualquier tarea que le sea encargada por la dirección y la presente Política.

 

6. Revisión de la política de seguridad.

La presente política de seguridad será revisada al menos una vez al año y siempre que haya cambios relevantes en la organización, con el fin de asegurar que esta es adecuada a la estrategia y a las necesidades de IFR para la actividad que desarrolla.

La política será propuesta y revisada por el Comité de Seguridad y aprobada por el mismo, y difundida a todas las partes interesadas.

 

7. Desarrollo de la política de seguridad de la información.

La Política de Seguridad de la Información de IFR se desarrolla mediante normativas y procedimientos de seguridad que afrontan aspectos específicos. Se dispone de los siguientes instrumentos:

• Requisitos legales.

• Requisitos de la norma ISO 27001: 2013.

• Normativas de seguridad: uniformizar el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de los usuarios.

• Procedimientos operativos de seguridad: Afrontan tareas concretas, indicando lo que hay que hacer, paso a paso, sin entrar en los detalles de proveedores, marcas comerciales o comandos técnicos. Son útiles en tareas repetitivas.

7.1 Marco organizativo.

Orientado a administrar la seguridad de la información dentro de un marco gerencial para controlar su implementación, evolución y seguimiento.

Partiendo de la presente Política de Seguridad ha desarrollado el resto del marco normativo de Seguridad.

7.2 Marco operacional.

Constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para una finalidad.

• Planificación: mediante análisis de riesgos, controlando la arquitectura de seguridad y desarrollo del mismo entre otros aspectos.

• Control de Acceso: orientado a controlar el acceso lógico a la información.

• Explotación: medidas para la gestión de la seguridad en explotación; partiendo del inventario de activos y controlando la gestión de incidencias, cambios, gestión de la configuración, registros de actividad, etc.

• Servicios externos: medidas de seguridad orientadas a garantizar que empresas y terceras personas que realicen servicios de cualquier clase contratados por IFR o que de alguna manera se den bajo el control de IFR cumplan las políticas y normas de seguridad de la información establecidas.

• Continuidad del negocio: acciones a ejecutar en caso de interrupción del negocio con los medios destinados a este fin.

• Monitorización del sistema: orientado a garantizar la disponibilidad de las actividades diarias y proteger los procesos críticos de los efectos de fallas significativas o desastres, así como establecer un control de las capacidades de los sistemas y su evolución. También como fuente de información preventiva para ataques o mal funciones ajenas a la organización.

• Cumplimiento: Orientado a conseguir un blindaje jurídico de los requerimientos legales.

7.3 Medidas de Protección.

Para la protección de activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.

• Protección de las instalaciones e infraestructuras: destinado a impedir accesos no autorizados, daños e interferencias en las instalaciones e infraestructuras de IFR.

• Protección de los equipos: medidas para la protección de los equipos y activos de IFR.

• Protección de las comunicaciones: dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y elementos y sistemas de comunicación.

• Protección de los soportes de información: para garantizar la información que contienen.

• Protección de las aplicaciones informáticas: orientado a garantizar la incorporación de medidas de seguridad en los sistemas de información desde su desarrollo y / o implementación y durante su mantenimiento.

• Protección de los datos: destinadas a garantizar el "know how" de la propia organización y de sus clientes, empleados y demás partes interesadas.

• Protección de las personas: Garantizar el adecuado conocimiento respecto a obligaciones y responsabilidades y proporcionar la adecuada formación para que puedan desarrollar su actividad profesional de manera óptima.

 

8. Sanciones previstas por incumplimiento.

El incumplimiento de la Política de Seguridad de la Información tendrá como resultado la aplicación de diversas sanciones, conforme a la magnitud y características de los preceptos incumplidos. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario descritas en el convenio sectorial aplicable.

Será considerada una falta "Grave" aquella que afecte al incumplimiento de las obligaciones y responsabilidades del personal y como "Muy grave" aquella, que además de eso, comporte un agravio para la organización o las personas que forman parte de ella, ya sea por temas de secreto profesional, pérdidas económicas o daños morales o reputación de IFR o de las personas que forman parte de IFR.

Cuando los incumplimientos los realizaran terceros, sobre los que recaiga la obligación de cumplimiento en virtud de un contrato o cualquier otro tipo de relación acordada, la responsabilidad les será exigida en los términos previstos en los instrumentos que regulen estas relaciones (contratos) y por la normativa legal que pueda resultar de aplicación.

 

9. Obligaciones del personal y terceros.

Todos los miembros de IFR, y terceros que realicen servicios de cualquier clase, contratados por la organización, tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y las normas y procedimientos de seguridad que les sean aplicables, siendo responsabilidad del Comité de Seguridad, disponer de los medios necesarios para que la información llegue a los afectados.

La organización dispone de un plan de formación y concienciación del personal (incluido en el plan de acogida para nuevas incorporaciones). Las personas con responsabilidad en el uso, operación o administración de sistemas TIC reciben la formación adecuada para realizar esta tarea de manera eficiente y segura.

 

10. Terceras partes.

Cuando IFR utilice servicios de terceros o ceda información a los mismos, se les hará partícipes de esta Política de Seguridad y de las normas y procedimientos de seguridad que conciernan a estos servicios o información. La tercera parte quedará sujeta a las obligaciones establecidas, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, el Comité de Seguridad hará un estudio que precise los riesgos incurridos y la forma de tratarlos, para garantizar que el contrato final del servicio garantice el nivel de seguridad requerido, o cuando menos, la organización sea consciente del riesgo asumido por esta carencia.

Revisión marzo 2019.