Pasar al contenido principal
Pasar al contenido principal

Política de seguridad de la información

Política de
y seguridad de la
información

logotipo de nazaries en una tableta.

APROBACIÓN Y ENTRADA EN VIGOR

Este documento ha sido revisado y aprobado por el Comité de Seguridad el día 18 de noviembre de 2024. A partir de ahora, nos referiremos al Sistema de Seguridad de la Información del ENS utilizando el término SGSI (Sistema de Gestión de la Seguridad de la Información), en virtud de su integración y alcance dentro del sistema.

Conforme a las recomendaciones de la GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-801) y considerando nuestros recursos y alcance, los Comités de Seguridad de la Información y Servicios TIC podrán operar de manera simultánea, gracias a su integración y equivalencia en Nazaries IT.

Esta Política de Seguridad de la Información entrará en vigor desde esta fecha y permanecerá vigente hasta que se emita una nueva política que la reemplace.

INTRODUCCIÓN

En Nazaríes Information Technologies, S.L., desde el año 2018 se ha implementado una política de seguridad de la información que juega un papel fundamental en nuestra gestión y en la protección de los datos y servicios que gestionamos.

Nuestra política de seguridad se ha establecido siguiendo un riguroso proceso que aborda múltiples aspectos esenciales. Ha sido aprobada formalmente y, como mínimo, incluye directrices claras sobre nuestros objetivos como organización, el marco regulatorio pertinente que nos afecta, las responsabilidades y roles relacionados con la seguridad, la estructura de comités responsables de supervisar y coordinar aspectos de seguridad, así como directrices precisas para la gestión de la documentación y la seguridad de nuestros sistemas.

Es muy importante que cada miembro de nuestro equipo conozca y cumpla con estos estándares de seguridad. Nuestra política se ajusta a los requisitos mínimos de seguridad, los cuales varían de acuerdo con los riesgos identificados en nuestros sistemas.

Dentro de este marco, la seguridad de la información se convierte en un pilar fundamental para garantizar la integridad, confidencialidad y disponibilidad de los datos y servicios que manejamos como empresa.

OBJETO

En Nazaríes Information Technologies, S.L., la Política de Seguridad de la Información tiene como objetivo establecer directrices y principios para la gestión y protección efectiva de la información y servicios. Implementaremos, mantendremos y mejoraremos continuamente un Sistema de Gestión de Seguridad de la Información (SGSI) en conformidad con los requisitos de

la Norma UNE ISO/IEC 27001:2022, las certificaciones PCI-DSS v4.0 y el Esquema Nacional de Seguridad (Nivel Medio) y las necesidades de nuestras partes interesadas.

Esto se llevará a cabo en cumplimiento del marco regulatorio aplicable, que incluye las disposiciones legales vigentes, como el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. La aplicación de esta política se enfoca en garantizar la protección adecuada de la información en el contexto de nuestra organización.

El propósito tanto del SGSI como de la Política de Seguridad es asegurar la protección de la información y los servicios, garantizando su autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad. Esto se extiende a los activos utilizados en el procesamiento, transmisión y almacenamiento de información.

La difusión, conocimiento y aplicación de esta Política de Seguridad de la Información es de responsabilidad de todo el personal, tanto interno como externo, que tenga acceso a la información de Nazaríes Information Technologies, S.L. y a los recursos tecnológicos empleados en las operaciones de la organización. Esto incluye a todos los niveles de la organización, desde el Comité de Dirección, hasta los sistemas de información que sustentan los servicios y procesos necesarios para el logro de los objetivos de negocio.

A - Los objetivos o misión de la organización

La misión de Nazaríes Information Technologies, S.L. es desarrollar software, sistemas IoT para la industria, prestar servicios de tipo SaaS y prestar un servicio de Customer Support con los mayores niveles de calidad, plazo de respuesta y seguridad de la información, y cumpliendo en todo momento los requerimientos del cliente.

La seguridad de la información tiene como objetivo principal proteger los datos de las empresas. Pero este concepto es en términos generales, puesto que el sistema lo que va a hacer es asegurar cinco aspectos fundamentales: la confidencialidad, la disponibilidad, la trazabilidad, la autenticidad y la integridad. Para llevar a cabo estas acciones se deberán establecer estrategias donde se redacten las políticas de actuación para cada uno de estos casos.

Esta Política se aplicará a los sistemas de información de Nazaríes Information Technologies, S.L. relacionados con el ejercicio de sus competencias y a todos los usuarios con acceso autorizado a los mismos, sean o no empleados públicos y con independencia de la naturaleza de su relación jurídica con la empresa.

Todos los empleados tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y su Normativa de Seguridad derivada, siendo responsabilidad de la Comisión de Seguridad de la Información disponer los medios necesarios para que la información llegue al personal afectado.

En este ámbito, no se consideran recursos TI de Nazaríes Information Technologies, S.L. aquellos ordenadores personales financiados a título individual no inventariados, aunque pudieran ocasionalmente ser usados para labores propias de investigación. No obstante, en el caso de que se acceda a la red corporativa mediante dichos ordenadores personales, quedarán

sujetos a las obligaciones establecidas en la presente política de seguridad de la información y normativas de desarrollo.

De forma concreta la presente política de seguridad es aplicable sobre los siguientes departamentos:

  • Administración
  • Sales
  • RRHH
  • Customer Success
  • Engineering
  • Industry 4.0
  • SaaS Solutions
  • DevOps
  • Ticketing
  • Infraestructura y Seguridad

B - Marco legal y regulatorio

Las responsabilidades de los departamentos de Nazaríes Information Technologies, S.L. hacia sus clientes vienen reflejadas en los contratos firmados por ambas partes. De igual manera, este departamento exige a sus proveedores los servicios y productos adquiridos con sus proveedores, servicios y obligaciones que vienen reflejados en los contratos firmados a tal efecto.

La legislación aplicable en caso de conflicto entre partes viene igualmente especificada en los contratos de prestación de servicios firmados por ambas partes.

Las normas y regulación que se aplican son entre otras:

  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE): Asegura que nuestra empresa cumpla con la obligación de proporcionar información clara y accesible a los usuarios sobre los servicios ofrecidos y las condiciones de uso, además de regular la publicidad y la responsabilidad de los contenidos.
  • UNE-ISO/IEC 27002:2022 Código de buenas prácticas para la Gestión de la Seguridad de la Información: Proporciona un marco de referencia para establecer políticas de seguridad efectivas en la gestión de la información, lo que nos ayuda a proteger nuestros activos y a mitigar riesgos asociados a la seguridad de la información.
  • UNE-ISO/IEC 27001:2022 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información: Nos obliga a implementar un sistema de gestión de la seguridad de la información (SGSI), lo que mejora nuestra capacidad de gestionar riesgos y cumplir con requisitos normativos, aumentando la confianza de nuestros clientes.
  • Reglamento (UE) No 910/2014 (eIDAS): Facilita el uso de servicios de confianza, como la firma electrónica, lo que permite a nuestra empresa realizar transacciones electrónicas de manera segura y legal, mejorando la eficiencia y la seguridad en nuestras operaciones.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad: Nos obliga a cumplir con estándares de seguridad para proteger los sistemas de información, especialmente si trabajamos con datos del sector público, lo que puede influir en nuestras prácticas de gestión de riesgos.
  • Ley 9/2014, de 9 de mayo, General de Telecomunicaciones: Moderniza la regulación de las telecomunicaciones en España, fomentando la competencia, mejorando los derechos de los usuarios y facilitando el despliegue de infraestructuras avanzadas.
  • PCI-DSS (PCI Security Standards Council): Establece requisitos para la protección de datos de tarjetas de pago, afectando directamente a nuestra gestión de la seguridad si procesamos transacciones con tarjetas, garantizando que manejamos adecuadamente la información sensible.
  • Reglamento (UE) 2019/881 (Cybersecurity Act): Establece un marco para la ciberseguridad en la UE, afectando a nuestra empresa al exigir que implementemos medidas para proteger nuestros sistemas y datos frente a ciberamenazas.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales: Nos obliga a garantizar la protección de los datos personales de nuestros clientes y empleados, estableciendo protocolos de tratamiento, almacenamiento y seguridad de la información personal.
  • Ley 22/2019, de 6 de diciembre, de modificación de la Ley de Propiedad Intelectual: Afecta nuestra capacidad para proteger y hacer valer nuestros derechos sobre el software y otros productos digitales que desarrollamos, así como la gestión del uso de obras ajenas en nuestros servicios.
  • Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales: Nos obliga a garantizar la seguridad y salud de nuestros empleados en el entorno laboral, implementando políticas y medidas para prevenir riesgos y fomentar un ambiente de trabajo seguro.
  • Convenio colectivo estatal de empresas de consultoría, tecnologías de la información y estudios de mercado y de la opinión pública (código de convenio 99001355011983) - 13 de abril de 2023, Convenio colectivo aplicable: Regula las condiciones laborales específicas, incluyendo aspectos de salarios, horarios y derechos laborales, lo que impacta directamente en la gestión de recursos humanos en nuestra organización.

C - Roles y Funciones de seguridad

En aplicación de los criterios de la Guía CCN-STIC-801 (Guía ENS. Responsabilidades y Funciones), se diferencian las siguientes funciones dentro del SGSI de Nazaríes Information Technologies, S.L.:

  • Responsable de la Información
  • Responsable del Servicio
  • Responsable del sistema
  • Responsable de Seguridad
  • Delegado de Protección de Datos

Como permite la Guía mencionada, el Comité de Seguridad, como órgano colegiado, desarrolla las funciones de “Responsable de la Información”. Existe un Responsable de Seguridad. El Delegado de Protección de Datos es personal propio de la empresa, y su nombramiento consta en acta firmada por el CEO.

Los eventuales conflictos entre los roles implicados en el SGSI que pueden producirse en el desarrollo normal de la actividad de la empresa, o en situaciones de crisis de seguridad, se resuelven en el seno del Comité de Seguridad. Cuando se trate situaciones de conflictos entre roles, se invitará al Comité al CEO de la empresa. Las decisiones al respecto de los conflictos se tomarán por unanimidad, y si no la hubiera por decisión vinculante del CEO.

Las principales funciones de cada una de esas figuras, en materia de seguridad de la información, son las siguientes:

Responsable de la Información

Las responsabilidades del Responsable de Información y Servicio comprenden:

  • Establecer los niveles de seguridad necesarios para cada aspecto que constituye la categorización del sistema.
  • Aceptar la responsabilidad del riesgo residual de la información y los servicios.
  • Asumir la máxima responsabilidad en caso de cualquier error o negligencia que resulte en un incidente de confidencialidad o integridad (en el ámbito de protección de datos) y de disponibilidad (en el ámbito de seguridad de la información), sin eximir la responsabilidad que corresponde a la Alta Dirección.

Responsable del Servicio

Las responsabilidades del Responsable del servicio son las siguientes:

  • Determina los requisitos de seguridad necesarios con el fin de garantizar la adecuada protección de los servicios proporcionados por estas aplicaciones y plataformas tecnológicas, considerando los intereses y necesidades pertinentes.
  • Asume la responsabilidad tanto del uso como de la protección de los servicios compartidos, por lo que son responsables de cualquier error o negligencia en la utilización de estos servicios que pueda resultar en un incidente de seguridad.
  • Desempeña un papel activo en el Comité de Seguridad

Responsable del Sistema

Las responsabilidades del Responsable del Sistema incluyen:

  • Desarrollar, operar y mantener el sistema de información en todo su ciclo de vida, lo que abarca especificaciones, instalación y verificación del funcionamiento correcto.
  • Definir la topología y la gestión del sistema de información, estableciendo criterios de uso y servicios disponibles.
  • Asegurar la adecuada integración de medidas de seguridad en el marco general de seguridad.
  • Generar, mantener y garantizar el cumplimiento de los procedimientos operativos de seguridad.
  • Elaborar planes de mejora de seguridad y planes de continuidad.
  • Comprometerse con el cumplimiento y seguimiento de los planes de continuidad.
  • Evitar la suspensión temporal de servicios, priorizando la máxima disponibilidad de sistemas siempre que sea posible.
  • Supervisar y planificar la implementación de salvaguardas en el sistema.
  • Tomar la decisión de suspender el tratamiento de información en caso de detectar deficiencias graves, aunque la decisión final recae en la Alta Dirección.
  • Aplicar la configuración de seguridad aprobada por el Responsable de la Seguridad de la Información.
  • Monitorizar el estado de seguridad de los sistemas.
  • Registrar, contabilizar y gestionar incidentes de seguridad en los sistemas bajo su responsabilidad.
  • Aislar incidentes para evitar su propagación a elementos ajenos a la situación de riesgo.
  • Tomar decisiones inmediatas si la información se ve comprometida de manera que pueda tener consecuencias graves.
  • Asegurar la integridad de elementos críticos del Sistema si se ve afectada la disponibilidad de los mismos.
  • Mantener y recuperar la información almacenada por el Sistema y sus servicios relacionados.
  • Investigar los incidentes, determinando su forma, medios, motivaciones y origen.
  • Planificar la implementación de salvaguardas en el sistema.
  • Ejecutar el plan de seguridad aprobado.

Responsable de Seguridad de la información

El Responsable de Seguridad es designado por el Comité de Dirección. Mientras no se derogue su función por medio de otra decisión del Comité de Dirección seguirá desempeñando esa función.

Las responsabilidades del Responsable de Seguridad de la Información abarcan:

  • Fomentar y participar en la creación e implementación de políticas, normativas, procedimientos y directrices de seguridad de la información, de acuerdo con los requisitos de las normas de seguridad correspondientes.
  • Supervisar la seguridad de la información, siguiendo las pautas generales establecidas en la Política de Seguridad.
  • Preparar el documento de Declaración de Aplicabilidad.
  • Garantizar que el Sistema de Gestión de Seguridad de la Información cumple con los estándares de seguridad seleccionados por el Comité de Seguridad de la Información.
  • Realizar evaluaciones periódicas para analizar la seguridad y proponer cambios en los controles de seguridad según sea necesario.
  • Identificar las leyes, regulaciones y normativas pertinentes que puedan impactar la seguridad de la información y proponer medidas aplicables, buscando asesoramiento externo cuando sea necesario.
  • Colaborar activamente en la elaboración de un Sistema de Gestión de la Seguridad de la Información.
  • Documentar los usos autorizados de los sistemas de información de la organización para su aprobación por parte del Comité de Seguridad.
  • Contribuir al diseño de iniciativas de concienciación y sensibilización sobre seguridad dirigidas a todo el personal.
  • Evaluar regularmente la eficacia de los controles implementados en la infraestructura tecnológica.
  • Establecer canales de comunicación con los diversos actores involucrados en la seguridad de la información, incluyendo administradores de sistemas, especialistas en seguridad y responsables de seguridad física.
  • Colaborar en el inicio de proyectos relacionados con la seguridad de la información y promover soluciones que se ajusten a las necesidades de la organización.
  • Remitir al Comité de Seguridad de la Información cualquier conflicto no resuelto que afecte a múltiples áreas o departamentos.
  • Servir como el punto de contacto especializado para la coordinación con el CSIRT de referencia.
  • Realizar análisis de riesgos periódicos para evaluar la exposición de la organización a vulnerabilidades frente a amenazas, identificando posibles medidas de mitigación.
  • Contribuir a la definición de una metodología de análisis de riesgos.
  • Colaborar en la elaboración de un plan de gestión del riesgo para la mejora continua de la seguridad de la información.
  • Hacer recomendaciones al Comité de Seguridad de la Información dentro de su área de responsabilidad.
  • Informar a la dirección sobre el desempeño del Sistema de Gestión de Seguridad de la Información.
  • Comunicar a la dirección los resultados de las auditorías.
  • Verificar la coherencia de los esfuerzos en seguridad de la información en toda la organización, identificando duplicaciones o áreas sin cobertura.
  • Evaluar la efectividad de los planes de concienciación y sensibilización del personal en seguridad de la información.
  • Actuar como el punto de contacto principal de Nazaríes Information Technologies, S.L. en asuntos relacionados con la seguridad de la información.
  • Presentar los resultados de los análisis de riesgos al Comité de Seguridad de la Información.
  • Notificar al Comité de Seguridad los incidentes relevantes que puedan afectar la seguridad de la información de Nazaríes Information Technologies, S.L.
  • Analizar y proponer salvaguardias para prevenir incidentes similares en el futuro.

Responsable de Protección de Datos

Las responsabilidades del Delegado de Protección de Datos engloban:

  • Garantizar el cumplimiento de los principios relacionados con el tratamiento de datos.
  • Identificar las bases legales de los tratamientos de datos.
  • Evaluar la compatibilidad de finalidades distintas de aquellas que motivaron la recopilación inicial de los datos.
  • Determinar si existe normativa sectorial que establezca condiciones específicas de tratamiento diferentes a las establecidas por el RGPD.
  • Diseñar e implementar medidas de información para los individuos afectados por los tratamientos de datos.
  • Establecer mecanismos para recibir y gestionar las solicitudes de ejercicio de derechos por parte de los interesados.
  • Valorar las solicitudes de ejercicio de derechos por parte de los interesados.
  • Gestionar la contratación de encargados de tratamiento, incluyendo los detalles de los contratos o acuerdos legales que regulen la relación entre el responsable y el encargado.
  • Identificar los instrumentos de transferencia internacional de datos apropiados a las necesidades y características de la organización y las justificaciones correspondientes.
  • Diseñar e implementar políticas de protección de datos.
  • Establecer y mantener los registros de actividades de tratamiento.
  • Integrar medidas de protección de datos desde la etapa de diseño y protección de datos por defecto, adaptadas a los riesgos y naturaleza de los tratamientos.
  • Implementar medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
  • Establecer procedimientos para gestionar incidentes de seguridad de datos, incluyendo la evaluación del riesgo para los derechos y libertades.
  • Determinar si es necesario llevar a cabo evaluaciones de impacto en la protección de datos.
  • Realizar evaluaciones de impacto en la protección de datos.
  • Gestionar las relaciones con las autoridades de supervisión.
  • Implementar programas de formación y concienciación para el personal en cuestiones de protección de datos.

Procedimientos de nombramiento y renovación

Todos los roles son nombrados por el CEO de la empresa.

El cambio de cualquiera de las personas asignadas a cualquier rol podrá venir dado por iniciativa del CEO, o bien por baja del trabajador de la empresa, en cuyo caso el CEO deberá nombrar al sucesor en esa función.

Dicho cambio deberá ser notificado al comité de seguridad que deberá encargarse de proporcionar la información, formación y recursos necesarios para llevar a cabo sus roles de manera efectiva.

D - Estructura y composición del comité para la gestión y coordinación de la seguridad

Este comité es responsable de la definición, implantación y seguimiento de todos los asuntos relacionados con la Seguridad de la Información en Nazaríes Information Technologies, S.L. En nuestra organización, la responsabilidad general de la seguridad de la información recaerá sobre el Responsable de Seguridad, siendo la responsabilidad última de la Dirección como máximo responsable del SGSI.

 

El comité está formado por:

  • Responsable de la Información
  • Responsable del Servicio
  • Responsable del sistema
  • Responsable de Seguridad
  • Delegado de Protección de Datos

 

Las funciones del Comité de Seguridad son las siguientes:

  • Elaborar la Política de Seguridad Corporativa, que deberá ser aprobada por la Dirección de la entidad.
  • Coordinar todas las funciones de seguridad de la organización.
  • Velar por el cumplimiento de la normativa legal y sectorial de aplicación.
  • Velar por el alineamiento de las actividades de seguridad a los objetivos de la organización.
  • Coordinar los Planes de Continuidad de las diferentes áreas, para asegurar una actuación sin fisuras en caso de que deban ser activados.
  • Coordinar y aprobar, en su caso, las propuestas de proyectos recibidas de los diferentes ámbitos de seguridad, encargándose gestionar un control y presentación regular del progreso de los proyectos y anuncio de las posibles desviaciones.
  • Recibir las inquietudes en materia de seguridad de la Dirección de la entidad y transmitirlas a los responsables departamentales pertinentes, recabando de ellos las correspondientes respuestas y soluciones que, una vez coordinadas, habrán de ser comunicadas a la Dirección.
  • Recabar de los responsables de seguridad departamentales informes regulares del estado de la seguridad de la organización y de los posibles incidentes. Estos informes, se consolidan y resumen para su comunicación a la Dirección de la entidad.
  • Definir, dentro de la Política de Seguridad Corporativa, la asignación de roles y los criterios para alcanzar las garantías pertinentes en lo relativo a segregación de funciones

 

Existe un repositorio documental de medidas ENS y complementarias, que se aprueban en sesiones del comité de seguridad, y posteriormente por Dirección (que estampa su firma en los documentos). Eventualmente pueden formar parte del cuerpo de medidas ENS algunos documentos ISO 27001.

Las medidas ENS se consideran aprobadas cuando llevan la firma del Director General y del Responsable de Seguridad, y se suben al repositorio documental en Microsoft OneDrive o sistema alternativo. No precisan de acta. También se contempla que el Director General lleve a cabo una aprobación general de medidas en un acta que indique el nombre de la medida y la versión aprobada.

Por otro lado, el Comité de Dirección, con colaboración en su caso de asesores legales externos, revisa una vez al año los cambios en la legislación aplicable, y su posible impacto sobre el negocio de la empresa dentro del alcance. Esta revisión se realiza fundamentalmente mediante consultas al BOE, INCIBE y CCN.

 

El Comité, puede recabar regularmente del personal técnico propio o externo, la información pertinente para tomar decisiones.

Este Comité será convocado cuando, aparezcan incidentes de seguridad graves y específicamente cuando surjan nuevas necesidades de seguridad.

El Comité se reunirá al menos una vez al año de manera ordinaria y extraordinariamente cada vez que sea necesario, con una convocatoria previa, de al menos 3 días laborales, efectuada por la Dirección, mediante correo electrónico. El Comité podrá ser requerido por el Responsable de Seguridad, en cuyo caso la Dirección deberá convocarlo en un periodo máximo de 15 días laborales

E - Directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso

Las pautas para organizar la documentación relacionada con la seguridad del sistema, su gestión y acceso están detalladas en el procedimiento “IT.4 GESTIÓN DE LA DOCUMENTACIÓN".

Si se produce un cambio sustancial en la estructura o funcionamiento que impacte en esta política, se llevará a cabo una revisión y actualización correspondiente.

Estas modificaciones se registrarán en una nueva edición del documento y se documentarán en el apartado de control de cambios. Esto servirá como evidencia del proceso de actualización realizado y permitirá rastrear las diferentes versiones.

La persona responsable de la Seguridad de la Información tiene la responsabilidad de mantener y compartir la versión aprobada de este documento tanto en la política de seguridad de la información disponible en nuestro sitio web y que es accesible al público como la que tenemos disponible internamente en

F - Riesgos que se derivan del tratamiento de los datos personales

El análisis y gestión de riesgos se debe tener en cuenta como parte esencial del proceso de seguridad.

La gestión de riesgos contribuirá a mantener un entorno bajo control al reducir los riesgos a niveles aceptables. Para lograr esta reducción, se implementarán medidas de seguridad que equilibrarán la naturaleza de los datos y los procesos, el impacto y la probabilidad de los riesgos asociados, junto con la eficacia y el costo de dichas medidas.

Al evaluar los riesgos relacionados con la seguridad de los datos, se prestará especial atención a los riesgos derivados del tratamiento de datos personales como:

Riesgo de Acceso No Autorizado: Posibilidad de que personas no autorizadas accedan a datos personales, lo que podría resultar en una violación de la confidencialidad.

  • La información personal podría ser modificada o alterada de manera no autorizada, lo que amenazaría su integridad.
  • Los datos personales podrían volverse inaccesibles debido a fallos técnicos, ciberataques u otras interrupciones, lo que afectaría la disponibilidad de la información.
  • La falta de medidas de seguridad adecuadas podría dar lugar a violaciones de seguridad, como ataques cibernéticos o pérdida de dispositivos que contienen datos personales.
  • El tratamiento inadecuado de datos personales puede dar lugar a incumplimientos de la legislación de protección de datos, lo que podría resultar en sanciones legales.
  • La divulgación no autorizada de datos personales podría llevar a fugas de información perjudiciales.
  • Los empleados o terceros podrían hacer un uso indebido de los datos personales para fines no autorizados.
  • Conceder permisos innecesarios o excesivos para acceder a datos personales puede aumentar el riesgo de uso indebido.
  • Las vulnerabilidades en el software utilizado para el tratamiento de datos personales pueden ser explotadas por actores maliciosos.
  • La externalización de servicios que involucran datos personales puede conllevar riesgos si los terceros no cumplen con los requisitos de seguridad necesarios.
  • Una falta de detección temprana y una respuesta inadecuada ante incidentes de seguridad pueden agravar el impacto de una violación de datos personales.

 

Actualmente, los datos personales de los empleados de Nazaríes Information Technologies, S.L. son gestionados desde la parte de dirección y el departamento de Administración.

Los empleados de ambos departamentos han firmado un acuerdo de confidencialidad y no divulgación donde se explica qué información no debe divulgarse bajo ningún concepto durante la duración del contrato, así como otras disposiciones que ambas partes consideren.

El marco legal y regulatorio bajo el que se desarrollan las actividades de la organización está identificado (Código de Derecho de la Ciberseguridad, edición 25-2-19).

Con respecto a los datos propios de clientes, la gestión de los mismos se hace acorde a las directrices que (al igual que con los datos personales) se han establecido en el contrato de confidencialidad firmado entre el empleado y la propia empresa.

Se recibe asesoramiento externo especializado para el cumplimiento de la normativa en protección de datos.

Requisitos mínimos de seguridad (art 12 ENS)

Esta política de seguridad se desarrolla aplicando los siguientes requisitos mínimos:

 

a) Organización e implantación del proceso de seguridad.

La seguridad compromete a toda la organización, estando bien delimitadas en el propio documento de Política de Seguridad las funciones relevantes dentro del SGSI.

 

b) Análisis y gestión de los riesgos.

Se realiza anualmente un análisis de riesgos empleando para ello la metodología Magerit. De este análisis se deriva un Plan de Tratamiento de Riesgos, cuyas medidas son proporcionales a los riesgos identificados.

 

c) Gestión de personal.

Los usuarios que acceden al sistema están identificados, y conocen la normativa de seguridad de la empresa. Existe un plan de formación anual para todo el personal dentro del alcance. Asimismo, se implementan las herramientas de concienciación de uso libre que el INCIBE ha puesto a disposición de las empresas.

 

d) Profesionalidad.

La selección de personal se realiza siguiendo entrevistas y tras un examen minucioso del CV del candidato. Los trabajadores contratados reciben formación en el SGSI de la empresa en el momento de su incorporación, así como acciones periódicas de reciclaje.

La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido, en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.

 

e) Autorización y control de los accesos.

El acceso al sistema está regulado por permisos, que se auditan periódicamente. Está prevista asimismo la concesión y la retirada de permisos temporales.f) Protección de las instalaciones.

Las instalaciones de la empresa están en un edificio de oficinas con horario restringido. Las propias oficinas de la empresa cuentan con llave magnética que se entrega a cada trabajador, y de la cual hay registro. No existen servidores de producción o de almacenamiento de datos en las oficinas de Nazaríes Information Technologies, S.L.,

Los sistemas de información serán emplazados en áreas seguras protegidas con controles de acceso físicos adecuados a la consideración de servicios críticos de los mismos. Los sistemas y los activos de información que contienen estarán suficientemente protegidos frente a amenazas físicas o ambientales, sean éstas intencionadas o accidentales. Los servidores que alojan aplicaciones de producción o que contienen datos de producción se alojan en empresas certificadas bajo el ENS en nivel medio o alto.

 

g) Adquisición de productos de seguridad y contratación de servicios de seguridad

En la contratación de productos se priorizan aquellos con funcionalidades certificadas por el CCN-CERT. La contratación de servicios críticos se realiza con proveedores certificados en categorías media o alta en el ENS.

 

h) Mínimo privilegio

El sistema proporcionará la mínima funcionalidad requerida para que la organización alcance sus objetivos. Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados. En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue. Por último, el uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

 

i) Integridad y actualización del sistema.

Todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema. Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.

 

j) Protección de la información almacenada y en tránsito.

Los equipos que se emplean están encriptados. No se permite el uso de dispositivos extraíbles personales. La información en papel está restringida a contratos, y no se puede imprimir o eliminar información en papel sin autorización.

Nazaríes Information Technologies, S.L., ha implementado mecanismos para proteger la información almacenada o en tránsito, especialmente cuando se encuentra en entornos inseguros (portátiles, móviles, tabletas, medios de información, redes abiertas, etc.).

 

k) Prevención ante otros sistemas de información interconectados.

El sistema protege el perímetro, en particular, si se conecta a redes públicas. Se entenderá por red pública de comunicaciones la red de comunicaciones electrónicas que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público, de conformidad a la definición establecida en el apartado 32 del anexo II, de Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión.

 

l) Registro de actividad y detección de código dañino

Se registra y se analiza la actividad de los usuarios, para identificar y prevenir acciones ilícitas o susceptibles de generar riesgos de seguridad.

 

m) Incidentes de seguridad.

Se cuenta con un procedimiento para la identificación y la gestión de los incidentes de seguridad. Los trabajadores reciben información al respecto.

 

n) Continuidad de la actividad.

La realización de copias de seguridad está externalizada en proveedores certificados en nivel medio o alto del ENS.

 

ñ) Mejora continua del proceso de seguridad.

Periódicamente, cada dos años, el sistema se audita; tanto con técnicos internos como posteriormente por una entidad acreditada por ENAC - CCN. Además, se llevan a cabo regularmente comités de seguridad en los que se trata la evolución del Plan de Tratamiento de Riesgos, de los indicadores y otras acciones que implican una mejora del SGSI.

 

El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.