Misión y Objetivos del Grupo SATEC en materia de Seguridad de la Información
La Dirección del Grupo SATEC, es consciente de la importancia que tiene para la Entidad un adecuado tratamiento de la información para conseguir un grado óptimo de calidad, seguridad, disponibilidad y continuidad en los servicios prestados a sus clientes. El Grupo SATEC sustenta, en gran medida, su línea de mercado hacia los clientes, en el despliegue y desarrollo de infraestructuras y servicios para los sistemas de información y las telecomunicaciones.
Para el Grupo SATEC, una incidencia de seguridad implica claros daños tangibles como pueden ser una pérdida de información, de disponibilidad del servicio, o implicaciones legales, así como un daño considerable es la imagen de la empresa. Esto convierte la seguridad en un factor imprescindible para el buen desempeño de la organización.
Objetivos de la política de Seguridad de la Información
El Grupo SATEC tiene en materia de seguridad de la información los siguientes objetivos:
- Asegurar la confidencialidad de la información tratada por el Grupo SATEC.
- Proteger la integridad de la información en todos los ámbitos de su tratamiento en el marco de los servicios prestados.
- Asegurar la disponibilidad de los sistemas de información que soportan los servicios prestados a sus clientes.
- Verificar y asegurar la autenticidad de los emisores y receptores de la información
- Garantizar la trazabilidad y el seguimiento de las actividades y la información en el marco de la prestación de los servicios.
- Gestionar la seguridad de la información durante todo el ciclo de vida del servicio.
- Asegurar la realización de análisis de riesgos para evaluar los riesgos existentes y seleccionar las medidas de seguridad necesarias manteniendo un adecuado balance entre coste y beneficio.
- Aplicar medidas de seguridad enfocadas a la prevención de posibles incidencias, errores o ataques deliberados.
- Establecer una gestión de eventos e incidencias de seguridad eficaz para minimizar el impacto o cualquier consecuencia derivada de la misma y reaccionar en tiempo y en adecuación a los requisitos contractuales y legales, asegurando la disponibilidad y continuidad del servicio prestado. Se establecerán los procedimientos relativos a la adecuada prevención, detección, respuesta y recuperación frente a cualquier incidencia de seguridad.
- Proteger la información frente a accesos no autorizados, así como implementar las medidas técnicas necesarias para asegurar las líneas de defensa exigibles.
- Promover la concienciación y formación de los empleados en materia de seguridad de la información.
- Asegurar la mejora continua a través de las revisiones periódicas establecidas, consistentes en la monitorización, auditoría y seguimiento de los planes de mejora.
Marco Normativo
Organización de la Seguridad
Coordinación de la seguridad de la información:
Responsable de Información
El Responsable de información es el responsable, dentro de su ámbito de actuación, de:
- Determinar las necesidades y requisitos de seguridad de la información tratada.
- Velar por el uso adecuado de la información y la protección de la misma.
Este no podrá delegar la aprobación de los niveles de seguridad de la información.
Serán designados por la Dirección General en función de la naturaleza de la información.
Responsable de servicio
El Responsable de servicio prestado es el responsable, dentro de su ámbito de actuación, de:
- Determinar los requisitos de seguridad del servicio prestado.
- Incluir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, junto con los correspondientes mecanismos de control.
- Asegurar que se apliquen los procesos y las políticas definidas.
Este no podrá delegar la aprobación de los niveles de seguridad del servicio.
Serán designados por la Dirección de Producción en función de la naturaleza de los servicios.
Responsable del sistema de gestión de la seguridad
En el Grupo SATEC contamos con un responsable del sistema de gestión de la seguridad (Responsable del SGSI) como responsable del control y coordinación en materia de seguridad, de vigilar el cumplimiento y la adecuación de las medidas de seguridad existentes además de proponer y establecer mejoras sobre la adecuación a la política de seguridad, normas y procedimientos existentes partiendo de las mejoras, políticas, normas y procedimientos que se establezcan en el Sistema de Gestión general.
El mismo se apoya para su funcionamiento en:
- Un responsable técnico de seguridad en cada delegación, quien identificará, analizará y solventará cualquier cuestión técnica relacionada con la Seguridad.
- Un responsable de la seguridad física dependiente de Servicios Generales.
- Los Responsables de servicio.
- Los Responsables de la información.
- Los Responsables del sistema.
- Un Comité de gestión de Seguridad, quien tendrá autoridad suficiente para tomar decisiones a nivel organizativo y que permitan garantizar la seguridad. El comité se compone de manera no exclusiva al menos de:
- Responsable de Seguridad (Responsable del SGSI)
- Responsable técnico de Seguridad
- Responsable/s de los servicios (quienes representan además a los responsables de la información)
Las principales funciones del Responsable de Seguridad radican en:
- Recomendar acciones de mejora, de Tratamiento de Riesgos y/o correctivas para solventar los problemas detectados e informar al Responsable del SG para su gestión.
- Asegurar la implantación de las acciones acordadas respecto a las mejoras, objetivos, acciones correctivas y de Tratamiento de Riesgos, vulnerabilidades detectadas y vigilar el buen fin de las acciones.
- Establecer la gestión de los incidentes de seguridad.
- Establecer y mantener contactos con los recursos o fuentes externas en el tema de la seguridad.
- Evaluar los cambios de los activos y estructuras base, analizando sus implicaciones en la seguridad con ayuda del Responsable Técnico de Seguridad.
- Crear la estructura documental del SGSI del Grupo SATEC.
- Asegurar que se realiza la implantación del SGSI en el Grupo SATEC y su mantenimiento en el tiempo, en colaboración con el Responsable del SG.
- Disponer de información sobre el grado de desempeño del SGSI del Grupo SATEC y realizar propuestas de mejora a partir de:
- No conformidades
- Acciones Correctivas
- Resultados del análisis de riesgo
- Auditorías Internas
- Incidencias de seguridad
- Sugerencias
- Indicadores
- Registrar las necesidades de mejora del SGSI, asignar responsable de solución y llevar el seguimiento.
- Cerrar acciones Correctivas y de Tratamiento de Riesgos del SGSI, en coordinación con el Responsable del SG.
- Registrar el estado de las acciones Correctivas y de Tratamiento de Riesgos del SGSI.
- Revisar y controlar el análisis de riesgos y su gestión.
- Asegurar la correcta gestión de recursos, en coordinación con la Dirección, en lo relativo al SGSI del Grupo SATEC.
- Asegurar la seguridad de la infraestructura necesarios para el funcionamiento de los servicios TI del Grupo SATEC y los accesos físicos.
- Disponer de información sobre la gestión de comunicaciones y operaciones de equipos y sistemas necesarios para el funcionamiento de los servicios TI del Grupo SATEC.
- Estar informado sobre todo lo relacionado con la gestión de accesos a sistemas del Grupo SATEC.
- Disponer de información y participar en la compra, el desarrollo y el mantenimiento de los sistemas del Grupo SATEC.
- Establecer los mecanismos adecuados para la gestión de incidentes de seguridad en el Grupo SATEC.
- Definir procedimientos y planes para asegurar la continuidad de negocio del Grupo SATEC.
- Asegurar la conformidad técnica y legal del SGSI del Grupo SATEC.
- Convocar las reuniones del Comité Operativo de seguridad siempre que se requiera de sus análisis y conocimientos para cualquier tarea relacionada con la seguridad.
Responsable del sistema
El responsable del sistema es el responsable de la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de seguridad junto con el Responsable Técnico de Seguridad.
Las principales funciones del responsable de sistema radican en:
- Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida; desde la definición de las especificaciones hasta el despliegue y la verificación de su correcto funcionamiento.
- Definir la topología y la gestión del sistema; para ello, definirá los criterios de uso y los servicios en el sistema de información.
- Asegurarse, junto con el Responsable de seguridad y el Responsable Técnico de Seguridad, que las medidas de seguridad se integran adecuadamente en el marco corporativo de seguridad,
Comité de gestión de la Seguridad
Sus funciones principales son:
- Reportar al Comité de Gestión, a la Dirección y al Comité de Dirección cuando sea oportuno.
- Elaborar la Política de Seguridad del Grupo SATEC y normas de seguridad
- Elaborar Procedimientos de seguridad
- Informar a la Dirección sobre la gestión de la seguridad de la información
- Establecer los criterios de aceptación de riesgos y aprobar previamente las estrategias de mitigación de riesgos, que deberán ser finalmente aprobadas por la Dirección.
- Coordinar análisis de riesgos, planes de contingencia y prevención de desastres.
- Desarrollar objetivos y estrategias de seguridad de mediano y largo plazo.
- Elaborar anualmente un plan de gestión en seguridad, formulando los recursos correspondientes para someterlo a la aprobación de Dirección.
- Seguimiento de los acuerdos de la última reunión de Revisión por la Dirección del SGSI del Grupo SATEC.
- Análisis de las Auditorías Internas realizadas.
- Análisis del estado de las Acciones de Tratamiento de Riesgos y Acciones Correctivas, verificando que éstas se tomen dentro de un tiempo apropiado.
- Análisis de la evolución y cumplimiento de los objetivos de seguridad.
- Asegurar la comunicación a todo el personal de la importancia de conocer los objetivos de seguridad en conformidad con las normas de seguridad y sus responsabilidades
- Análisis del cumplimiento con las normas y procedimientos de seguridad del SGSI y de la vigencia de los mismos. Se analiza la necesidad de modificaciones o si se persiguen los objetivos deseados.
- Revisar las conclusiones de la revisión del SGSI y las acciones correctivas y/o de Tratamiento de Riesgos que sean necesarias para la solución de las necesidades de mejoras encontradas, estableciendo los responsables de la ejecución y las fechas a realizarse.
Procedimiento de designación de responsabilidades
Será responsabilidad de la Dirección asignar las responsabilidades en materia de seguridad dentro del Grupo SATEC y establecer el listado de personas propietarias de la información, así como las personas autorizadas a designar recursos y permisos.
Formación y Concienciación
La Dirección del Grupo SATEC se compromete a facilitar los recursos necesarios para la adecuada formación y concienciación en materia de seguridad a todos los empleados de Grupo SATEC, en función de los roles y responsabilidades que sustenten en relación con esta materia.
Igualmente se velará por la actualización de los conocimientos necesarios a los responsables tanto de la seguridad, de la información y de los sistemas de información.
Gestión de Riesgos
Todos los sistemas de información y elementos necesarios para la prestación de los servicios sujetos a esta Política deberán ser objeto de un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.
La frecuencia para la realización de este análisis de riesgos será:
- al menos una vez al año
- cuando cambie la información manejada
- cuando cambien los servicios prestados o el alcance dentro del Sistema de Seguridad de la Información.
- cuando ocurra una incidencia grave de seguridad
- cuando se reporten vulnerabilidades graves
Para la trazabilidad de los análisis de riesgos, el Comité de Seguridad establecerá una
valoración de referencia para los diferentes tipos de información manejados y los diferentes
servicios prestados. La Dirección asegurará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, en función del coste/beneficio.
Datos de carácter personal
La Dirección del Grupo SATEC es consciente de la importancia que tiene un adecuado tratamiento de la información para conseguir un grado óptimo de servicio al cliente hoy en día. En particular, existen datos necesarios para el desarrollo del negocio del Grupo SATEC que entran dentro de la definición legal de datos de carácter personal, por lo que debe emplearse especial cuidado en la recopilación, tratamiento, actualización y destrucción de estos datos.
El registro de actividades de tratamiento al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información del Grupo SATEC se ajustarán a los niveles de seguridad en función de la clasificación de la información y requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado registro de tratamiento de datos personales.
Terceros
En el caso de que el Grupo SATEC preste servicios a otras entidades o trate datos e información de otras organizaciones, se les comunicará e involucrará en esta Política de Seguridad, estableciendo los canales necesarios de comunicación, así como la definición de los procesos de actuación frente a desastres o incidencias de seguridad.
Igualmente, en los casos en los cuales el Grupo SATEC precise de servicios de terceros o ceda información, se les comunicarán los requisitos aplicables y contemplados en esta Política y en los procedimientos y políticas que la desarrollan, quedando los terceros sujetos a las obligaciones establecidas en esta normativa. Se deberá en todo caso asegurar el conocimiento y la concienciación del personal que pueda estar involucrado en la prestación de servicio.
Obligaciones del personal
La dirección del Grupo SATEC quiere dejar constancia expresa de su conocimiento y de su aprobación de la política, así como de todo lo relacionado con ésta, de forma que el personal la debe conocer y asumir como una parte de sus funciones laborales.
Desarrollo y Revisión de la política
Esta política se desarrolla en el documento de Políticas de Ciberseguridad del Grupo SATEC, así como en los diferentes procedimientos de seguridad establecidos.
Se revisará la adecuación de esta política al menos una vez al año formando parte de la Revisión por la Dirección.
En Madrid, 10 de Mayo de 2023.
Teresa Taubmann Urquijo
Directora General de SATEC