INTEGRADORES GLOBALES

Misión y Objetivos de SATEC en materia de Seguridad de la Información

La Dirección de SATEC y Teresa Taubmann Urquijo, Directora General de SATEC, en su nombre, es consciente de la importancia que tiene para la Entidad un adecuado tratamiento de la información para conseguir un grado óptimo de calidad, seguridad, disponibilidad y continuidad en los servicios prestados a sus clientes. SATEC sustenta, en gran medida, su línea de mercado hacia los clientes, en el despliegue y desarrollo de infraestructuras y servicios para los sistemas de información y las telecomunicaciones.

Para SATEC, una incidencia de seguridad implica claros daños tangibles como pueden ser una pérdida de información, de disponibilidad del servicio, o implicaciones legales, así como un daño considerable es la imagen de la empresa. Esto convierte la seguridad en un factor imprescindible para el buen desempeño de la organización.

Objetivos de la política de Seguridad de la Información

SATEC tiene en materia de seguridad de la información los siguientes objetivos:

• Asegurar la confidencialidad de la información tratada por SATEC.
• Proteger la integridad de la información en todos los ámbitos de su tratamiento en el marco de los servicios prestados.
• Asegurar la disponibilidad de los sistemas de información que soportan los servicios prestados a sus clientes.
• Verificar y asegurar la autenticidad de los emisores y receptores de la información
• Garantizar la trazabilidad y el seguimiento de las actividades y la información en el marco de la prestación de los servicios.
• Gestionar la seguridad de la información durante todo el ciclo de vida del servicio.
• Asegurar la realización de análisis de riesgos para evaluar los riesgos existentes y seleccionar las medidas de seguridad necesarias manteniendo un adecuado balance entre coste y beneficio.
• Aplicar medidas de seguridad enfocadas a la prevención de posibles incidencias, errores o ataques deliberados.
• Establecer una gestión de eventos e incidencias de seguridad eficaz para minimizar el impacto o cualquier consecuencia derivada de la misma y reaccionar en tiempo y en adecuación a los requisitos contractuales y legales, asegurando la disponibilidad y continuidad del servicio prestado. Se establecerán los procedimientos relativos a la adecuada prevención, detección, respuesta y recuperación frente a cualquier incidencia de seguridad.
• Proteger la información frente a accesos no autorizados, así como implementar las medidas técnicas necesarias para asegurar las líneas de defensa exigibles.
• Promover la concienciación y formación de los empleados en materia de seguridad de la información.
• Asegurar la mejora continua a través de las revisiones periódicas establecidas, consistentes en la monitorización, auditoría y seguimiento de los planes de mejora.

Marco Normativo

• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE). (BOE 166 de 12-07-2002
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE 294 de 06-12-2018).
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, RGPD.
• Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (LPI), regularizando, aclarando y armonizando las disposiciones vigentes en la materia. (BOE 97 de 22-04-1996).
• RD 28/2003 de 7 de marzo por el que se aprueba el Reglamento del Registro Central de la Propiedad Intelectual (BOE 75 28-03-03). De aplicación general para el registro de la propiedad intelectual (es parte del Real Decreto Legislativo 1/1996, de 12 de abril).
• Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, en su actualización con fecha 19/10/2015. Artículo 31 bis y siguientes.
• Ley 23/2006, de 7 de julio, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril (LPI). (BOE 162 del 08-07-2006), ley que modifica el del Real Decreto Legislativo 1/1996, de 12 de abril.
• Ley 25/2013 de impulso de la Factura electrónica y creación del registro contable de facturas en el Sector Público, y su desarrollo. (BOE 311 de 28-12-2013). Es de aplicación para aquellos servicios prestados a las Administraciones Públicas.
• Ley 17/2001, de 7 de diciembre, de Marcas. (BOE 294 de 08-12-2001). Es aplicable a toda aquella protección de los signos distintivos, marcas, nombres comerciales de SATEC.
• Ley 24/2015, de 24 de julio, de Patentes (BOE 177 de 25-07-2015. Es de aplicación para la protección de las invenciones industriales.

Organización de la Seguridad

Coordinación de la seguridad de la información:

Responsable de información

El Responsable de información es el responsable, dentro de su ámbito de actuación, de:

• Determinar las necesidades y requisitos de seguridad de la información tratada.
• Velar por el uso adecuado de la información y la protección de la misma.

Este no podrá delegar la aprobación de los niveles de seguridad de la información.

Serán designados por la Dirección General en función de la naturaleza de la información.

Responsable de servicio

El Responsable de servicio es el responsable, dentro de su ámbito de actuación, de:

• Determinar los requisitos de seguridad del servicio prestado.
• Incluir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, junto con los correspondientes mecanismos de control.
• Asegurar que se apliquen los procesos y las políticas definidas.

Este no podrá delegar la aprobación de los niveles de seguridad del servicio.

Serán designados por la Dirección de Producción en función de la naturaleza de los servicios.

Responsable del sistema de gestión de la seguridad

En SATEC contamos con un responsable del sistema de gestión de la seguridad (Responsable del SGSI) como responsable del control y coordinación en materia de seguridad, de vigilar el cumplimiento y la adecuación de las medidas de seguridad existentes además de proponer y establecer mejoras sobre la adecuación a la política de seguridad, normas y procedimientos existentes partiendo de las mejoras, políticas, normas y procedimientos que se establezcan en el Sistema de Gestión general.

El mismo se apoya para su funcionamiento en:

• Un responsable técnico de seguridad en cada delegación, quien identificará, analizará y solventará cualquier cuestión técnica relacionada con la Seguridad.
• Un responsable de la seguridad física dependiente de Servicios Generales.
• Los Responsables de servicio.
• Los Responsables de la información.
• Los Responsables del sistema.
• Un Comité de gestión de Seguridad, quien tendrá autoridad suficiente para tomar decisiones a nivel organizativo y que permitan garantizar la seguridad, este Comité está integrado dentro del Comité del SGSIT. El comité se compone de manera no exclusiva al menos de:
  • Responsable de Seguridad
  • Responsable técnico de Seguridad
  • Responsable de Servicios (quien representa además a los responsables de la información)

Las principales funciones del Responsable de Seguridad radican en:

• Recomendar acciones de mejora, preventivas y/o correctivas para solventar los problemas detectados e informar al Responsable del SG para su gestión.
• Asegurar la implantación de las acciones acordadas respecto a las mejoras, objetivos, acciones correctivas y preventivas, vulnerabilidades detectadas y vigilar el buen fin de las acciones.
• Establecer la gestión de los incidentes de seguridad.
• Establecer y mantener contactos con los recursos o fuentes externas en el tema de la seguridad.
• Evaluar los cambios de los activos y estructuras base, analizando sus implicaciones en la seguridad con ayuda del Responsable Técnico de Seguridad.
• Crear la estructura documental del SGSI del Área de servicios de SATEC.
• Asegurar que se realiza la implantación del SGSI en SATEC y su mantenimiento en el tiempo, en colaboración con el Responsable del SG.
• Disponer de información sobre el grado de desempeño del SGSI dentro del Área de servicios de SATEC y realizar propuestas de mejora a partir de:
  • No conformidades
  • Acciones Correctivas
  • Resultados del análisis de riesgo
  • Auditorías Internas
  • Incidencias de seguridad
  • Sugerencias
  • Indicadores
• Registrar las necesidades de mejora del SGSI, asignar responsable de solución y llevar el seguimiento.
• Cerrar acciones Correctivas y Preventivas del SGSI, en coordinación con el Responsable del SG.
• Registrar el estado de las acciones Correctivas y Preventivas del SGSI.
• Revisar y controlar el análisis de riesgos y su gestión.
• Asegurar la correcta gestión de recursos, en coordinación con la Dirección, en lo relativo al SGSI del Área de servicios de SATEC.
• Asegurar la seguridad de la infraestructura necesarios para el funcionamiento de los servicios IT del Área de servicios de SATEC y los accesos físicos.
• Disponer de información sobre la gestión de comunicaciones y operaciones de equipos y sistemas necesarios para el funcionamiento de los servicios IT del Área de servicios de SATEC.
• Estar informado sobre todo lo relacionado con la gestión de accesos a sistemas del Área de servicios de SATEC.
• Disponer de información y participar en la compra, el desarrollo y el mantenimiento de los sistemas del Área de servicios de SATEC.
• Establecer los mecanismos adecuados para la gestión de incidentes de seguridad en el Área de servicios de SATEC.
• Definir procedimientos y planes para asegurar la continuidad de negocio del Área de servicios de SATEC.
• Asegurar la conformidad técnica y legal del SGSI del Área de servicios de SATEC.
• Convocar las reuniones del Comité Operativo de seguridad siempre que se requiera de sus análisis y conocimientos para cualquier tarea relacionada con la seguridad.

Responsable del sistema

El responsable del sistema es el responsable de la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de seguridad junto con el Responsable Técnico de Seguridad.

Las principales funciones del responsable de sistema radican en:

• Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida; desde la definición de las especificaciones hasta el despliegue y la verificación de su correcto funcionamiento.
• Definir la topología y la gestión del sistema; para ello, definirá los criterios de uso y los servicios en el sistema de información.
• Asegurarse, junto con el Responsable de seguridad y el Responsable Técnico de Seguridad, que las medidas de seguridad se integran adecuadamente en el marco corporativo de seguridad,

Comité de gestión de la Seguridad

Sus funciones principales son:

• Reportar al Comité de Gestión, a la Dirección y al Comité de Dirección cuando sea oportuno.
• Elaborar la Política de Seguridad de SATEC y normas de seguridad
• Elaborar Procedimientos de seguridad
• Informar a la Dirección sobre la gestión de la seguridad de la información
• Establecer los criterios de aceptación de riesgos y aprobar previamente las estrategias de mitigación de riesgos, que deberán ser finalmente aprobadas por la Dirección de Servicios.
• Coordinar análisis de riesgos, planes de contingencia y prevención de desastres.
• Desarrollar objetivos y estrategias de seguridad de mediano y largo plazo.
• Elaborar anualmente un plan de gestión en seguridad, formulando los recursos correspondientes para someterlo a la aprobación de Dirección.
• Seguimiento de los acuerdos de la última reunión de Revisión por la Dirección del SGSI de Área de servicios de SATEC.
• Análisis de las Auditorías Internas realizadas.
• Análisis del estado de las Acciones Preventivas y Acciones Correctivas, verificando que éstas se tomen dentro de un tiempo apropiado.
• Análisis de la evolución y cumplimiento de los objetivos de seguridad.
• Asegurar la comunicación a todo el personal de la importancia de conocer los objetivos de seguridad en conformidad con las normas de seguridad y sus responsabilidades
• Análisis del cumplimiento con las normas y procedimientos de seguridad del SGSI y de la vigencia de los mismos. Se analiza la necesidad de modificaciones o si se persiguen los objetivos deseados.
• Revisar las conclusiones de la revisión del SGSI y las acciones correctivas y/o preventivas que sean necesarias para la solución de las necesidades de mejoras encontradas, estableciendo los responsables de la ejecución y las fechas a realizarse.

Procedimiento de designación de responsabilidades

Será responsabilidad de la Dirección de Servicios asignar las responsabilidades en materia de seguridad dentro del Área de Servicios y establecer el listado de personas propietarias de la información, así como las personas autorizadas a designar recursos y permisos.

Formación y Concienciación

La Dirección de SATEC se compromete a facilitar los recursos necesarios para la adecuada formación y concienciación en materia de seguridad a todos los empleados de SATEC, en función de los roles y responsabilidades que sustenten en relación con esta materia.

Igualmente se velará por la actualización de los conocimientos necesarios a los responsables tanto de la seguridad, de la información y de los sistemas de información.

Gestión de Riesgos

Todos los sistemas de información y elementos necesarios para la prestación de los servicios sujetos a esta Política deberán ser objeto de un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.

La frecuencia para la realización de este análisis de riesgos será:

• al menos una vez al año
• cuando cambie la información manejada
• cuando cambien los servicios prestados o el alcance dentro del Sistema de Seguridad de la Información.
• cuando ocurra una incidencia grave de seguridad
• cuando se reporten vulnerabilidades graves

Para la trazabilidad de los análisis de riesgos, el Comité de Seguridad establecerá una

valoración de referencia para los diferentes tipos de información manejados y los diferentes

servicios prestados. La Dirección de Servicios asegurará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, en función del coste/beneficio.

Datos de carácter personal

La Dirección de SATEC es consciente de la importancia que tiene un adecuado tratamiento de la información para conseguir un grado óptimo de servicio al cliente hoy en día. En particular, existen datos necesarios para el desarrollo del negocio de SATEC que entran dentro de la definición legal de datos de carácter personal, por lo que debe emplearse especial cuidado en la recopilación, tratamiento, actualización y destrucción de estos datos.

El registro de actividades de tratamiento al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información de SATEC se ajustarán a los niveles de seguridad en función de la clasificación de la información y requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado registro de tratamiento de datos personales.

Terceros

En el caso de que SATEC preste servicios a otras entidades o trate datos e información de otras organizaciones, se les comunicará e involucrará en esta Política de Seguridad, estableciendo los canales necesarios de comunicación, así como la definición de los procesos de actuación frente a desastres o incidencias de seguridad.

Igualmente, en los casos en los cuales SATEC precise de servicios de terceros o ceda información, se les comunicarán los requisitos aplicables y contemplados en esta Política y en los procedimientos y políticas que la desarrollan, quedando los terceros sujetos a las obligaciones establecidas en esta normativa. Se deberá en todo caso asegurar el conocimiento y la concienciación del personal que pueda estar involucrado en la prestación de servicio.

Obligaciones del personal

La dirección de SATEC quiere dejar constancia expresa de su conocimiento y de su aprobación de la política, así como de todo lo relacionado con ésta, de forma que el personal la debe conocer y asumir como una parte de sus funciones laborales.

Desarrollo y Revisión de la política

Esta política se desarrolla en el Manual de Políticas del SGSI, así como en los diferentes procedimientos de seguridad establecidos por SATEC.

Se revisará la adecuación de esta política al menos una vez al año formando parte de la Revisión por la Dirección.