Solicite un presupuesto

Política de Seguridad

Política de Seguridad

1 INTRODUCCIÓN

1.1 JUSTIFICACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

WOCU MONITORING, S.L. depende de los sistemas de TIC (Tecnologías de la Información y las Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben gestionarse con diligencia, adoptando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o de los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continua de los servicios, actuando de forma preventiva, supervisando la actividad diaria y reaccionando con rapidez ante los incidentes.

Los sistemas TIC deben protegerse frente a amenazas en rápida evolución que puedan afectar a la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y de los servicios. Para defenderse de estas amenazas se requiere una estrategia que se adapte a las condiciones cambiantes del entorno para garantizar la prestación continua de los servicios.

Por este motivo, el Esquema Nacional de Seguridad (Real Decreto 311/2022, de 8 de enero, en adelante ENS) establece en su artículo 11 que:

“Todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del correspondiente órgano superior.”

Esto implica que las diferentes áreas de la organización deben aplicar las medidas mínimas de seguridad exigidas por el ENS, así como supervisar continuamente los niveles de prestación de los servicios, realizar el seguimiento y análisis de las vulnerabilidades notificadas y preparar una respuesta eficaz ante incidentes para garantizar la continuidad de los servicios prestados.

Todas las áreas deben garantizar que la seguridad TIC sea una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada del servicio, incluyendo decisiones de desarrollo o adquisición y actividades operativas.

Los requisitos de seguridad y las necesidades de financiación deben identificarse e incluirse en la planificación, en las solicitudes de propuestas y en los pliegos de licitación de los proyectos TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de los incidentes, de acuerdo con el artículo 7 del ENS.

 

1.3 OBJETIVOS Y ALCANCE DE LOS SERVICIOS PRESTADOS

Esta Política de Seguridad se aplica a los distintos servicios prestados en su actividad diaria, concretamente:

  • Diseño

  • Desarrollo

  • Soporte y mantenimiento

El alcance específico del ENS es el siguiente: Sistema de información aplicado a:

“Diseño, desarrollo y soporte y mantenimiento de soluciones de monitorización de infraestructuras digitales en grandes instalaciones”.

La organización asume su compromiso con la seguridad de la información, comprometiéndose a su correcta gestión para ofrecer a todas sus partes interesadas las máximas garantías, con los siguientes objetivos:

  • Garantizar la calidad de la información y la prestación continua de los servicios, actuando de forma preventiva, supervisando la actividad diaria y reaccionando con rapidez ante incidentes.

  • Garantizar la recuperación rápida y eficiente de los servicios ante cualquier desastre físico o contingencia que pueda poner en riesgo la continuidad de las operaciones.

  • Prevenir los incidentes de seguridad de la información en la medida en que sea técnica y económicamente viable, así como mitigar los riesgos derivados de nuestras actividades.

  • Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

  • Proteger la información frente a amenazas potenciales asegurando la continuidad de las líneas de negocio.

  • Minimizar los posibles daños causados.

  • Maximizar el retorno de la inversión y las oportunidades de negocio.

2 MARCO NORMATIVO

Como base normativa para la elaboración de esta guía de seguridad, se ha analizado la legislación vigente que afecta al desarrollo de las actividades y que implica la implantación de medidas de seguridad en los sistemas de información.

El marco legal relativo a la seguridad de la información se establece mediante la siguiente normativa:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS).

  • Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, cuyo objetivo es garantizar la interoperabilidad técnica, semántica y organizativa de los sistemas utilizados por las Administraciones Públicas.

  • Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

3 ORGANIZACIÓN DE LA SEGURIDAD

Tal y como indica el artículo 12 del ENS, la seguridad debe implicar a todos los miembros de la organización.

Según el Anexo II del ENS, la política de seguridad debe identificar roles claros responsables de garantizar su cumplimiento y debe ser conocida por todos los miembros de la organización.

Se establecen los siguientes roles relacionados con la seguridad de la información.

A. Responsable de la Información

Funciones principales:

  • Adoptar medidas técnicas y organizativas para garantizar la seguridad de los datos personales.

  • Asumir la responsabilidad última sobre el uso de determinada información y su protección.

  • Establecer los requisitos de seguridad de la información.

  • Determinar los niveles de seguridad para cada dimensión según el Anexo I del ENS.

B. Responsable del Servicio

Funciones principales:

  • Gestionar el tratamiento de datos personales dentro de su área.

  • Establecer los requisitos de seguridad del servicio.

  • Asumir la responsabilidad sobre el uso de los servicios y su protección.

  • Determinar los niveles de seguridad del servicio según el ENS.

C. Responsable de Seguridad de la Información

Funciones principales:

  • Coordinar las medidas de seguridad definidas.

  • Reportar al Comité de Seguridad de la Información.

  • Realizar análisis de riesgos.

  • Elaborar la Declaración de Aplicabilidad.

  • Coordinar la documentación de seguridad del sistema.

  • Preparar planes de mejora de seguridad.

  • Promover formación y concienciación en seguridad.

D. Responsable del Sistema

Funciones principales:

  • Desarrollar, operar y mantener el sistema de información.

  • Definir la arquitectura y topología del sistema.

  • Supervisar el estado de seguridad del sistema.

  • Desarrollar los planes de continuidad del sistema.

E. Administrador de Seguridad del Sistema

Funciones principales:

  • Implementar y mantener las medidas de seguridad.

  • Supervisar instalaciones y cambios en hardware y software.

  • Gestionar incidencias de seguridad.

  • Mantener registros de auditoría y trazabilidad.

F. Responsable de Seguridad Física

Responsable de implementar las medidas de seguridad física dentro de su ámbito.

3.1 COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

El Comité de Seguridad de la Información se crea para:

  • Informar a la dirección sobre el estado de la seguridad.

  • Promover la mejora continua del SGSI.

  • Aprobar políticas y normas de seguridad.

  • Supervisar riesgos e incidentes.

  • Coordinar auditorías de seguridad.