La Dirección de Grupo Control establece la presente Política de Seguridad en el marco del Sistema de Gestión de la Seguridad de la Información (SGSI), bajo las siguientes premisas:
- Es adecuada al propósito de Grupo Control
- Incluye los objetivos de seguridad de la información asociados
- Incluye el compromiso de cumplir con los requisitos aplicables a seguridad de la información
- Incluye el compromiso de mejora continua del SGSI
La Política de Seguridad, así como las Normativas que emanen de la misma, estarán disponibles a disposición de las diferentes partes interesadas según sea apropiado.
1. Objetivos y Principios de Seguridad
El objetivo principal de la Política de Seguridad de la Información de Grupo Control consiste en la protección de la información manejada por la empresa de las diferentes partes interesadas, así como de los sistemas de información que dan soporte a los productos y servicios prestados a los clientes.
Se difundirá y dará a conocer la presente política entre las partes interesadas, incluyendo al personal de la empresa, clientes, proveedores, suministradores y terceras partes, organismos reguladores, y empresas responsables de las auditorías de seguridad y cumplimiento de las normativas vigentes en seguridad de la información.
Los principios de seguridad asociados a la presente política serán los siguientes:
- Se entenderá la seguridad como un proceso integral, asociado a cualquier proceso de negocio dentro de la empresa, y a la protección de la información en cualquier soporte, físico o electrónico.
-
La
gestión de la seguridad estará fundamentada en la protección de
la información teniendo en cuenta las siguientes dimensiones de la
seguridad:
- Disponibilidad. La información debe estar disponible cuando se necesite
- Integridad. La información debe ser exacta, veraz, y permanecer inalterada
- Confidencialidad. El acceso a la información debe realizarse únicamente por personal autorizado
- Autenticidad. La información debe mantenerse auténtica en origen y en destino
- Trazabilidad. Debe poder conocerse quién y cuándo ha accedido a la información, y las operaciones realizadas sobre las misma
-
La
gestión de la seguridad estará basada en el análisis y gestión
de los riesgos asociados a los activos de información. La dirección
de Grupo Control establecerá el nivel de riesgo aceptable, y los
riesgos deberán estar por debajo de dicho valor. Los riesgos que se
deben considerar pueden tener su origen en:
- El propio análisis de riesgos asociado al cumplimiento normativo de seguridad de la información (ISO 27001)
- Las auditorías de seguridad asociadas al SGSI y Norma ISO 27001
- El resto de las auditorías técnicas de seguridad y test de penetración que pudieran realizarse
- Los riesgos identificados por las herramientas de escaneo de vulnerabilidades utilizadas, sondas de monitorización implantadas, herramientas de detección de ataques, herramientas antimalware, y demás mecanismos de seguridad que pudieran utilizarse
- Se realizará una reevaluación periódica de los riesgos, y se revisará de forma continua el SGSI
- Los objetivos de seguridad serán los indicados en el documento base de gestión del SGSI.
2. ALCANCE
El alcance de la presente Política de Seguridad de la Información serán todos los sistemas de información de Grupo Control, en el marco del SGSI mantenido por la empresa.
La política de seguridad y normativas asociadas serán de obligado cumplimiento para el propio personal de la empresa, y para las terceras partes que se relacionan con Grupo Control (proveedores, distribuidores, contratistas, etc.), que dispongan de acceso a alguno de los sistemas de información asociados al SGSI.
3. MISIÓN DEL ORGANISMO
3.1 Misión
Grupo Control es una empresa enfocada hacia el mundo de la seguridad, empresa líder del mercado de la seguridad.
Con una amplia cartera de gestión empresarial, la empresa ha demostrado a lo largo de su larga andadura una gran capacidad de gestión y unas sólidas perspectivas de crecimiento, avaladas por una política de atención personalizada a su cartera de clientes y una formación específica para su equipo comercial.
3.2 Visión
Ser una empresa de servicios de seguridad líder y en continuo crecimiento, con presencia en territorio nacional, que se distingue por proporcionar servicios de excelente calidad, prestando máxima garantía para sus clientes, ofrecer oportunidades de desarrollo profesional y personal a sus empleados, y una contribución positiva a la sociedad actuando con un compromiso de ciudadanía global.
3.3 Valores
Los principales valores de Grupo Control serían los siguientes:
- Interés por las personas
- Orientación al cliente
- Responsabilidad social
- Integridad
- Compromiso con los resultados
- Sostenibilidad
- Seguridad y cercanía
- Accesibilidad
- Confianza
- Igualdad de oportunidades
4. MARCO NORMATIVO
Las normativas de referencia en materia de seguridad de la información serán las siguientes:
- Norma Europea EN ISO/IEC 27001:2017
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
5. ORGANIZACIÓN DE LA SEGURIDAD
5.1 Dirección
La Dirección de Grupo Control designa a un Responsable de Seguridad de la Información, como figura responsable del SGSI.
Asimismo, la Dirección de Grupo Control conforma un Comité de Seguridad de la Información, en el que se incluye al propio Responsable de Seguridad y a los directores de las diferentes áreas de la empresa.
Adicionalmente a lo anterior, son funciones de la Dirección las enumeradas a continuación:
- Aprobar el alcance del Sistema de Gestión de la Seguridad de la Información
- Revisar y aprobar los objetivos de seguridad de forma anual
- Aprobar el valor máximo de riesgo aceptable
- Facilitar los medios para lograr los objetivos y para poder implantar las medidas de seguridad del plan de tratamiento del riesgo, reduciendo de este modo el nivel de riesgo por debajo del valor máximo de riesgo aceptable definido
- Conocer los principales riesgos de seguridad a los que se enfrenta la empresa y cómo afectan o podrían afectar a las líneas de negocio y a los procesos internos
- Facilitar los medios para aumentar la cultura de seguridad en la empresa, y el nivel de concienciación en materia de seguridad de la información
5.2 Responsable de Seguridad de la Información
Las principales funciones del Responsable de Seguridad de la Información, quién será el responsable de la gestión del SGSI, serían las siguientes:
- Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la Política de Seguridad de la Información de la organización.
- Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
- Elaborar y proponer para aprobación por la organización las normativas y procedimientos de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios.
- Desarrollar la política de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo auditorías periódicas de seguridad.
- Elaborar el documento de Declaración de Aplicabilidad en el ámbito de la Norma ISO 27002.
- Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.
- Constituirse como punto de contacto con la autoridad competente en materia de seguridad de las redes y sistemas de información y responsable ante aquella del cumplimiento de las obligaciones que se derivan del RD-l 12/2018 y de su Reglamento de Desarrollo.
- Constituir el punto de contacto especializado para la coordinación con el CSIRT de referencia.
- Notificar a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, los incidentes que tengan efectos perturbadores en la prestación de los servicios.
- Recibir, interpretar y aplicar las instrucciones y guías emanadas de la Autoridad Competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.
- Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa
Respecto al SGSI:
- Actuar como secretario del Comité de Seguridad de la Información, elevando al mismo cualquier aspecto relacionado la con la seguridad de la información y el SGSI.
- Realizar la revisión periódica de la documentación asociada al SGSI
- Actualizar el análisis de riesgos asociado al SGSI de manera anual, o cuando se produzcan cambios relevantes en los sistemas de información.
- Comunicar al responsable de los sistemas las actuaciones técnicas derivadas del plan de tratamientos de los riesgos.
- Comunicar a los responsables de cada Área de la empresa los requisitos de seguridad y controles aplicables en su ámbito.
- Gestionar los procesos de auditoría interna y externa en materia de seguridad de la información, y de cumplimiento de las normas vigentes asociadas, y en particular la Norma ISO 27001.
- Realizar un proceso de revisión continua respecto a las no conformidades detectadas en las auditorías de seguridad, y verificar el grado de implantación de las acciones y su eficacia para contrarrestar las citadas no conformidades.
5.3 Comité de Seguridad de la Información
La Dirección de Grupo Control constituye el Comité de Seguridad de la Información, que estará conformado por:
- Responsable de Central Receptora de Alarmas
- Consejero Dirección
- Responsable de Seguridad de la Información, Administrador de Sistemas y Delegado de Protección de Datos
- Responsable Desarrollo de Aplicaciones Informáticas
- Jefe de Seguridad
- Responsable de Sistemas
Las principales funciones del Comité de Seguridad de la Información serán las siguientes:
- Atender las inquietudes de la Dirección de la entidad y de los diferentes departamentos.
- Informar regularmente del estado de la seguridad de la información a la Dirección.
- Promover la mejora continua del sistema de gestión de la seguridad de la información.
- Elaborar la estrategia de evolución de la organización en lo que respecta a seguridad de la información.
- Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, que están alineados con la estrategia decidida en la materia, evitando duplicidades.
- Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su aprobación por la Dirección.
- Aprobar la Normativa de Seguridad de la información.
- Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios, desde el punto de vista de seguridad de la información.
- Monitorizar los principales riesgos residuales asumidos por la organización y recomendar posibles actuaciones.
- Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de tales incidentes.
- Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
- Aprobar planes de mejora de la seguridad de la información de la organización. En particular velará por la coordinación de distintos planes que puedan realizarse en diferentes áreas.
- Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitado.
- Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
- Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
El Responsable de Seguridad de la Información es responsable de la ejecución directa o delegada de las decisiones del Comité de Seguridad de la Información.
5.4 Delegado de Protección de Datos
El Delegado de Protección de Datos tendrá como mínimo las siguientes funciones:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD, la RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
- Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.
El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
5.5 Responsable de Sistemas
Las principales funciones del responsable de sistemas, encargado de la parte operativa de la seguridad, serán las citadas a continuación:
- Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
- Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
- Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.
5.6 Administrador de Seguridad
Sus funciones más significativas serían las siguientes:
- La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.
- La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de información.
- La gestión de las autorizaciones y privilegios concedidos a los usuarios del sistema, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.
- La aplicación de los Procedimientos Operativos de Seguridad
- Asegurar que los controles de seguridad establecidos son adecuadamente observados.
- Asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.
- Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
- Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.
- Informar al Responsable de Seguridad o al Responsable del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
- Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.
5.7 Otros Roles
El Responsable de Seguridad Física adoptará las medidas de seguridad que le competan, dentro de las determinadas por el Responsable de Seguridad de la Información, e informará a éste de su grado de implantación, eficacia e incidentes.
El departamento de RR.HH. de Grupo Control adoptará las medidas de seguridad que le competan, dentro de las determinadas por el Responsable de Seguridad de la Información, e informarán a éste de su grado de implantación, eficacia e incidentes.
6. CONCIENCIACIÓN Y FORMACIÓN
El Responsable de Seguridad y el Delegado de Protección de Datos recomendarán las acciones formativas y de concienciación destinadas al personal de Grupo Control, en materia de seguridad de la información y protección de datos personales. Ambos roles deberán proponer acciones destinadas de forma genérica a todo el personal, y acciones específicas para algunos puestos de trabajo, siendo el criterio el nivel de responsabilidad en materia de seguridad y la sensibilidad de la información manejada.
La Dirección promoverá y facilitará los medios necesarios para llevar a cabo las acciones y aumentar la cultura de seguridad en la empresa, y las áreas dedicadas a Formación y Concienciación deberán llevar a cabo el plan propuesto.
7. GESTIÓN DE RIESGOS
El análisis de riesgos en el marco del SGSI será la base para determinar las medidas de seguridad y controles a implantar.
La Dirección establece un valor umbral de 2,5 (en una escala de 0 al 10) como el nivel máximo de riesgo aceptable. Cuando el riesgo residual, calculado a partir del riesgo inherente y considerando la mitigación de dicho valor por las medidas de seguridad implantadas, se sitúe por encima del nivel de riesgo aceptable, se propondrán las acciones pertinentes para que el riesgo baje a valores inferiores a dicho umbral. El total de acciones, las tareas asociadas y responsables, así como el calendario de cada una, se establecerán en el plan de tratamiento del riesgo.
El análisis de riesgos se realizará al menos una vez al año, o cuando se presente alguna de las siguientes circunstancias:
- Sen han producido modificaciones relevantes en los sistemas de información
- Se han identificado vulnerabilidades críticas que no se han tenido en cuenta en el análisis de riesgos. Sería el caso de posibles vulnerabilidades identificadas en una auditoría técnica de seguridad o test de penetración.
- Cuando se materialice alguna amenaza que implique un incidente de seguridad, cuyos factores de riesgo no se hubieran analizado previamente
Los resultados y conclusiones principales de análisis de riesgos serán elevados a Dirección a modo de resumen ejecutivo, por parte del Responsable de Seguridad.
8. DESARROLLO DE LA POLÍTICA DE SEGURIDAD
Esta Política se desarrollará por medio de diferentes normativas de seguridad que afronten aspectos específicos de la seguridad de la información.
La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
Las normativas serán propuestas por el Responsable de Seguridad al Comité de Seguridad, quién decidirá los responsables de redacción, revisión y aprobación de éstas.
Las normativas podrán derivar en procedimientos específicos de seguridad, en los que se deberá reflejar cómo llevar a cabo las directrices marcadas en las normativas. Los procedimientos serán propuestos por el Responsable de Seguridad, y el Comité de Seguridad decidirá los roles responsables de redacción, revisión y aprobación de éstos.
9. OBLIGACIONES
9.1 Obligaciones del personal
Todos los miembros de Grupo Control tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de Grupo Control atenderán a una sesión de concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos el personal, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
El personal de Grupo Control estará obligado al cumplimiento de la Política de Seguridad, y de las Normativas y Procedimientos asociados. Igualmente, deberá comprometerse al buen uso de los medios tecnológicos puestos a su disposición para el correcto desempeño de sus funciones, y estará obligado a cumplir con las cláusulas de confidencialidad y deber de secreto pertinentes en función de su responsabilidad en materia de seguridad, debiendo extenderse dichos compromisos de forma posterior a la extinción de la relación laboral.
Todo el personal de Grupo Control está obligado a notificar cualquier incidencia de seguridad de la información por las vías que se determinen en los procedimientos asociados.
9.2 Obligaciones de terceras partes
Las empresas terceras que se relacionen con Grupo Control y deban acceder a información o a los sistemas de información de la empresa por cualquier vía, in situ, en remoto o desde sus propias instalaciones, deberán acatar la presente Política de Seguridad y las Normativas asociadas. Dichos terceros deberán acreditar que disponen de los procedimientos necesarios para cumplir con la establecido en la Política de Grupo Control.
Se establecerán procedimientos específicos de reporte y resolución de incidencias, y se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
10. PROCESO DE APROBACIÓN Y REVISIÓN
La Política de Seguridad de la Información es un documento que será aprobado formalmente por la Alta Dirección de Grupo Control y tendrá carácter imperativo sobre toda la organización.
Asimismo, estará sujeto a un proceso de revisión regular que lo adapte a nuevas circunstancias, técnicas u organizativas, y evite que quede obsoleto.
La Política de Seguridad será revisada una vez al año a propuesta del Responsable de Seguridad, quién lo elevará al Comité de Seguridad. El propio Comité deberá elevar a Dirección la propuesta definitiva y los cambios realizados, que deberán ser aprobados por la Dirección.