Política de seguridad de la información

1. Introducción

La información se ha convertido en uno de los principales activos de nuestra organización, y es por ello que cuidarla y protegerla se convierte en un objetivo absolutamente prioritario.

Es parte de nuestra estrategia, a partir de ahora, mantener la seguridad de la información como un elemento crítico y fundamental. Este reto se multiplica en exigencia e importancia si lo aplicamos a un entorno tan específico y crítico como el nuestro, donde el tratamiento y la gestión segura de la información se imponen como una necesidad para competir y mejorar en el futuro.

NEOSISTEC Y NAVILENS PROJECTS CORP. (en adelante NEOSISTEC Y NAVILENS PROJECT CORPS. ) depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad y la ISO27001, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados. Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.

Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC. Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 7 del ENS.

1.1 Prevención

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, los departamentos deben:

1.2 Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS. La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

1.3 Respuesta

Los departamentos deben:

1.4 Recuperación

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

2. Objeto y alcance

El propósito de esta Política de alto nivel es definir el objetivo, dirección, principios y reglas básicas para la gestión de la seguridad de la información.

(SGSI) y a todos los empleados de NEOSISTEC Y NAVILENS PROJECTS CORP. Y extensible a terceras partes que realicen tratamientos de información propiedad de NEOSISTEC Y NAVILENS PROJECTS CORP.

La Política de Seguridad se aplica a toda la empresa y a sus activos de información:

3. Referencias y marco normativo

La gerencia de NEOSISTEC Y NAVILENS PROJECT CORPS. se asegura de que la documentación de origen externo que resulta de interés para el funcionamiento de la empresa es conocida por los empleados de la empresa que lo necesitan y es mantenida actualizada y disponible en todo momento.

Para ello se utilizan los medios definidos en este documento y los procedimientos que lo desarrollan.

En cuanto a normas aplicadas para formalizar los diferentes procedimientos de Seguridad establecidos se han seguido los criterios de las siguientes normas internacionales:

De forma adicional se crea el registro “SGSI84_RE07_ Registro Normativa aplicable” para nutrir de toda la información, enlaces de interés e información relacionada con la Normativa aplicada.

Normativa en protección de datos

Normativa laboral

Normativa general

Otra normativa aplicable

4. Organización de la Seguridad

4.1 Comités: funciones y responsabilidades

Se conforma un comité de seguridad, cuyos miembros y mails quedan reservados de esta publicación por motivos de seguridad. No obstante, será comunicado en la intranet, así como puede ser compartido con partes interesades bajo demanda.

Existe una lista de distribución de correo llamada comiteseguridad@neosistec.com para responder a cualquier necesidad interna/externa en la seguridad de la información.

Cada responsable de su área podrá modificar y adecuar documentos o procedimientos que sean de su competencia sin la aprobación expresa del resto del comité, siempre y cuando estas modificaciones no alteren de manera significativa el funcionamiento del SGSI. En cualquier caso, el comité debe ser informado de estas modificaciones.

A continuación, se enumeran cuáles son las funciones y responsabilidades del Comité de seguridad.

4.2 Roles: funciones y responsabilidades

En el documento llamado “SGSI65_Roles y responsabilidades NEOSISTEC Y NAVILENS PROJECT CORPS.” se recogen con detalle todos los roles y responsabilidades de la organización.

4.3 Procedimientos de designación

El responsable de Seguridad de la Información será nombrado por Dirección a propuesta del Comité de Seguridad. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante. El Departamento responsable de un servicio que se preste electrónicamente de acuerdo a la Ley 11/2007 designará al Responsable del Sistema, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.

4.4 Política de seguridad de la información

El Comité de Seguridad de la Información es el encargado de construir y mantener la Política de Seguridad de la Información, si bien, es la Dirección de NEOSISTEC Y NAVILENS PROJECTS CORP. la responsable de la aprobación y publicación de dicha Política, así como de distribuirla a todos los empleados y terceros afectados.

Cualquier cambio o evolución que afecte o pudiera afectar al contenido de la Política de Seguridad de la Información quedará registrado en una nueva firma del documento de aprobación. De esta forma se concreta y confirma el compromiso de estas entidades por la seguridad de la información.

Periódicamente, y en todo caso no superando el plazo de un año, se revisará la vigencia y razonabilidad de la presente política y se llevarán a cabo las mejoras, adaptaciones o modificaciones requeridas en función de los cambios organizativos, técnicos o regulatorios aplicables.

4.5. Distribución de la Política de Seguridad

La distribución de la política de seguridad se distribuirá de las siguientes formas en función del grupo de interés al que se dirija:

5. Sanciones

Cualquier violación premeditada o negligente de las políticas y normas de seguridad y

que suponga un potencial daño, consumado o no a NEOSISTEC Y NAVILENS PROJECTS CORP., será sancionada de acuerdo con los mecanismos habilitados en el convenio de Empresa y en la normativa legal, contractual y corporativa vigentes.

Todas las acciones en las que se comprometa la seguridad de NEOSISTEC Y NAVILENS PROJECTS CORP. y que no estén previstas en esta política, deberán ser revisadas por la Dirección Ejecutiva y por el responsable de Seguridad de la Información para dictar una resolución sujetándose al criterio de la empresa y la legislación prevista.

Las acciones disciplinarias en respuesta a los incumplimientos de la Política de Seguridad de la Información son atribución de la Dirección Ejecutiva de NEOSISTEC Y NAVILENS PROJECTS CORP. y de los órganos de gobierno según la legislación aplicable.

Existe un canal de denuncias y un protocolo de gestión de incidencias puesto a disposición de los trabajadores a través del cual cualquier miembro de la empresa puede comunicar una posible incidencia o incumplimiento al comité de seguridad o al responsable de seguridad.

Dicha infracción y la sanción correspondiente será comunicada al infractor por un miembro de dirección mediante correo electrónico con solicitud de confirmación de recepción.

6. Misión (Política de Seguridad)

Como respuesta a un nuevo entorno tecnológico donde la convergencia entre la informática y las comunicaciones están facilitando un nuevo paradigma de productividad para las empresas, NEOSISTEC Y NAVILENS PROJECTS CORP., está altamente comprometido con mantener la Promoción de proyectos de investigación, desarrollo tecnológico e innovación, en un entorno de calidad, donde el desarrollo de buenas prácticas en Seguridad de la Información es fundamental para conseguir los objetivos de confidencialidad, integridad, disponibilidad y legalidad de toda la información gestionada. En consecuencia, a lo anterior, NEOSISTEC Y NAVILENS PROJECTS CORP., define los siguientes principios de aplicación a tener en cuenta en el marco del Sistema de Gestión de Seguridad de la Información (SGSI):

La Dirección de NEOSISTEC Y NAVILENS PROJECTS CORP., entiende su deber de garantizar la seguridad de la información como elemento esencial para el correcto desempeño de los servicios de la organización, y, por tanto, soporta los siguientes objetivos y principios:

  1. Implementar el valor de la Seguridad de la Información en el conjunto de la Organización.
  2. Contribuir, todas y cada una de las personas de NEOSISTEC Y NAVILENS PROJECTS CORP., a la protección de la Seguridad de la Información.
  3. Preservar la confidencialidad, integridad, disponibilidad y resiliencia de la información, con el objetivo de garantizar que se cumplan los requisitos legales, normativos, y de nuestros clientes, relativos a la seguridad de la información; y de forma específica en lo que respecta a datos de carácter personal:
    1. Los datos serán tratados de manera lícita, leal y transparente en relación con el interesado (Licitud, lealtad y transparencia).
    2. Serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (Limitación de la finalidad).
    3. Los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (Minimización de datos).
    4. Los datos deberán ser exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (Exactitud).
    5. Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (Limitación del plazo de conservación).
    6. Tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (Integridad y confidencialidad).
  4. Proteger los activos de la información de NEOSISTEC Y NAVILENS PROJECTS CORP. de amenazas, ya sean internas o externas, deliberadas o accidentales, con el objetivo de garantizar la continuidad del servicio ofrecido a nuestros clientes y la seguridad de la información.
  5. Establecer un Plan de seguridad de la información que integre las actividades de prevención y minimización del riesgo de los incidentes de seguridad en base a los criterios de gestión del riesgo establecidos por NEOSISTEC Y NAVILENS PROJECTS CORP.
  6. Proporcionar los medios necesarios para poder realizar las actuaciones pertinentes de cara a la gestión de los riesgos identificados.
  7. Asumir la responsabilidad en materia de concienciación y formación en materia de seguridad de la información como medio para garantizar el cumplimiento de esta política.
  8. Extender nuestro compromiso con la seguridad de la información a nuestro personal trabajador y proveedores.
  9. Mejorar continuamente la seguridad mediante el establecimiento y seguimiento periódico de objetivos de seguridad de la información.

Esta Política será mantenida, actualizada y adecuada a los fines de la Organización, alineándose con el contexto de gestión de riesgos de esta. A este efecto se revisará a intervalos planificados o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

De igual forma, para gestionar los riesgos que afronta NEOSISTEC Y NAVILENS PROJECTS CORP se establece un procedimiento de evaluación de riesgos formalmente definido. Por su parte, todas las políticas y procedimientos incluidos en el SGSI serán revisados, aprobados e impulsados por la Dirección Ejecutiva de NEOSISTEC Y NAVILENS PROJECTS CORP.

7. Gestión de Riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

8. Desarrollo de la Política de Seguridad de la Información

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos, así como con otras políticas complementarias. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

9. Obligaciones del personal

Todos los miembros de NEOSISTEC Y NAVILENS PROJECT CORPS. Y NAVILENS PROJECTS CORP. tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados. Todos los miembros de NEOSISTEC Y NAVILENS PROJECT CORPS. Y NAVILENS PROJECTS CORP. atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de la organización, en particular a los de nueva incorporación. Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

La Seguridad de la Información es un esfuerzo conjunto, por ello requiere la implicación y participación de todos los miembros de la organización que trabajan con los Sistemas de Información de la organización. Por ello, cada empleado debe cumplir los requerimientos de la Política de Seguridad y su documentación asociada.

Los empleados que deliberadamente o por negligencia incumplan la Política de Seguridad serán sujetos a acciones disciplinarias según se contempla en este documento.

10. Terceras partes

La presente Política de Seguridad es de extensible conocimiento y cumplimiento para cualquier persona externa perteneciente a terceras entidades que realice cualquier tipo de tratamiento sobre la información propiedad de NEOSISTEC Y NAVILENS PROJECTS CORP.

Cuando NEOSISTEC Y NAVILENS PROJECT CORPS. Y NAVILENS PROJECTS CORP. preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad. Cuando NEOSISTEC Y NAVILENS PROJECT CORPS. Y NAVILENS PROJECTS CORP. utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política. Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

11. Aprobación y Vigencia

El presente documento ha sido aprobado por la Dirección, con vigencia a partir del 11 de Mayo de 2023