Introducción
Seiquer Auditores y Consultores depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos de negocio. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS.
Prevención
Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, los departamentos deben:
Detección
Dado que los servicios se puede degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
Respuesta
Los departamentos deben:
Alcance
Esta política se aplica a todos los sistemas TIC de Seiquer Auditores y Consultores, así como a todos los miembros de la organización, sin excepciones.
Misión
Como respuesta a un nuevo entorno tecnológico donde la convergencia entre la informática y las comunicaciones están facilitando un nuevo paradigma de productividad para las empresas, Seiquer Auditores y Consultores, está altamente comprometido con mantener la Promoción de proyectos de investigación, desarrollo tecnológico e innovación, en un entorno de calidad, donde el desarrollo de buenas prácticas en Seguridad de la Información es fundamental para conseguir los objetivos de confidencialidad, integridad, disponibilidad y legalidad de toda la información gestionada. En consecuencia, a lo anterior, Seiquer Auditores y Consultores, define los siguientes principios de aplicación a tener en cuenta en el marco del Sistema de Gestión de Seguridad de la Información (SGSI):
La Dirección de Seiquer Auditores y Consultores, entiende su deber de garantizar la seguridad de la información como elemento esencial para el correcto desempeño de los servicios de la organización, y, por tanto, soporta los siguientes objetivos y principios:
Esta Política será mantenida, actualizada y adecuada a los fines de la organización, alineándose con el contexto de gestión de riesgos de la organización. A este efecto se revisará a intervalos planificados o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.
De igual forma, para gestionar los riesgos que afronta Seiquer Auditores y Consultores se establece un procedimiento de evaluación de riesgos formalmente definido. Por su parte, todas las políticas y procedimientos incluidos en el SGSI serán revisados, aprobados e impulsados por la Dirección Seiquer Auditores y Consultores.
Principios básicos
Requisitos mínimos
La organización se compromete con esta política de seguridad a cumplir y velar por el cumplimiento de los siguientes puntos tal y como lo marca el RD 311/2022:
Marco normativo
La gerencia de Seiquer Auditores y Consultores se asegura de que la documentación de origen externo necesaria para el el funcionamiento de la
empresa es conocida por los empleados de la empresa que lo necesitan y es mantenida actualizada y disponible en todo momento.
Para ello se utilizan los medios definidos en este documento y los procedimientos que lo desarrollan.
Documentos de referencia
Organización de la seguridad
Comités, funciones y responsabilidades
Se ha establecido un comité de seguridad formado por:
Este comité de seguridad tiene las siguientes funciones y responsabilidades:
Roles: Funciones y responsabilidades
Dirección ejecutiva
Participa en la elaboración de objetivos y mediciones. Aprueba las políticas. Aprueba las revisiones por dirección del SGSI. Valida las conclusiones de las auditorías de sistemas.
La dirección ejecutiva establece el organigrama de la organización que contiene más funciones y roles de los que se especifican aquí. En esta política detallamos los responsables relacionados con la seguridad de la información.
Responsable de seguridad
Responsable del sistema
Responsable de protección de datos
Responsable del servicio
Responsable de la información
Usuarios y empleados
Procedimientos de designación
La dirección de Seiquer Auditores y Consultores se encarga de realizar unos nombramientos para designar roles y responsabilidades en seguridad de la información, así como se encarga de establecer los comités necesarios para velar por el cumplimiento de esta política. Estos nombramientos y estructuras internas permanecerán en documentos internos.
Política de seguridad de la información
Será misión del Comité de Seguridad la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por el Comité de Seguridad y difundida para que la conozcan todas las partes afectadas
Gestión de riesgos
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
Desarrollo de la política de seguridad de la información
Esta Política se desarrollará por medio de normativa de seguridad que afrontará aspectos específicos en la operativa de los usuarios de la organización. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
La política de seguridad estará disponible tanto en https://seiquerauditoresyconsultores.es/politica-de-seguridad-de-la-informacion/como en el grupo General de la aplicación de Teams donde son miembros todos los empleados de la organización y a la que no tiene acceso ninguna persona externa a esta.
Obligaciones del personal
Todos los miembros de Seiquer Auditores y Consultores tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de Seiquer Auditores y Consultores atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de la organización, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
Terceras partes
Cuando Seiquer Auditores y Consultores preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando Seiquer Auditores y Consultores utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
Aprobación y entrada en vigor
Texto aprobado el día 23 de agosto de 2023 por María Navarro, Responsable de Seguridad de Seiquer Auditores y Consultores S.L.P.
Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
Este texto anula el anterior, que fue aprobado el día 27 de julio de 2023 por el Responsable de Seguridad de Seiquer Auditores y Consultores S.L.P.
Ante cualquier discrepancia con la anterior política o un solicitud de mejora se podrá realizar a través del buzón de correo: csi@seiquer.com
Por otro lado, ante la situación de conflicto entre roles será gerencia la encargada de realizar la resolución de conflictos entre los causantes.