Política de Seguridad de la Información
Introducción
La información es en un activo principal para nuestra organización y por tanto tratamos la seguridad de la información como un elemento crítico y fundamental. Este reto se multiplica en exigencia e importancia si lo aplicamos a un entorno tan específico y crítico como el nuestro, donde el tratamiento y la gestión segura de la información se imponen como una necesidad para competir y mejorar en el futuro.
Asimismo, la legislación actual es clara en lo referente a la seguridad de la información, disponiendo de un marco legal muy concreto que requiere de un cumplimiento exigente por parte de todos, pero que ayuda a adoptar las medidas de seguridad apropiadas en los sistemas de la información.
El objeto de este documento es establecer los principios y reglas básicas en las que se sostiene la Seguridad de la información de Cibernos Consulting. Este conjunto de principios fundamentales ha sido formulado basándose en necesidades válidas de negocio, reconocimiento del valor añadido de los sistemas a proteger y una compresión de los riesgos asociados a estos sistemas. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes. Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (ENS) y la norma ISO27001 que Cibernos Consulting toman como referencia, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados. Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC. Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.
Misión
Se define la misión de Cibernos Consulting en relación con la seguridad de la información y se establecen principios para el Sistema de Gestión de Seguridad de la Información (SGSI).
Prevención
Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS y la norma ISO27001, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, los departamentos deben:
- Autorizar los sistemas antes de entrar en operación.
- Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
Detección
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia. La monitorización es especialmente relevante cuando se establecen líneas de defensa. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
Respuesta
Los departamentos deben:
- Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
- Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
- Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
Recuperación
Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.
Documentos de referencia
- ISO/IEC 27001.
- Esquema Nacional de Seguridad
- guía CCN-STIC-801
Alcance
Esta política aplica a todo el Sistema de Gestión Integrado de Cibernos Consulting a todos los empleados y usuarios, incluso a terceras partes que traten información por encargo nuestro.
Afectará a los sistemas de información de la organización tanto a equipos personales o servidores, redes, aplicaciones, sistemas operativos, procesos de la empresa que pertenecen y/o son administrados por Cibernos Consulting. Esta política cubre los aspectos más directamente relacionados con la responsabilidad y buen uso del personal de estos sistemas.
Nombramientos y Organización de Responsabilidades
La dirección de Cibernos Consulting se encarga de realizar unos nombramientos para designar los roles y responsabilidades, así como los comités necesarios, para velar por el cumplimiento de esta política. Esta documentación estará accesible para todas las partes interesadas y el personal interno a la organización.
En el documento interno relativo a Roles y responsabilidades Cibernos Consulting se recogen con detalle todos los roles y responsabilidades de la organización.
Clasificación de la información
Cibernos Consulting cuenta con un sistema interno de clasificación de información en función de su criticidad.
Gestión de Riegos
Se establece la obligación de realizar análisis de riesgos regularmente para los sistemas sujetos a la política.
Desarrollo de la Política de Seguridad de la Información
La política se desarrollará a través de normativa de seguridad disponible para los miembros de la organización.
Obligación del Personal
Todos los miembros de Cibernos Consulting tienen la obligación de conocer y cumplir tanto la presenta política como la normativa de seguridad interna definida, para ello se realizan sesiones de concienciación y formación continua entre otras medidas.
Terceras Partes
Cuando Cibernos Consulting presta servicios a terceros, se les hace partícipes de la política de seguridad, estableciendo canales de reporte y coordinación, y se garantiza que el personal de terceros esté concienciado en materia de seguridad.
Aprobación y entrada el vigor
Esta Política de Seguridad de la información es efectiva desde la fecha de aprobación y hasta que fuere reemplazada por una nueva.
Aprobado a fecha de 19/09/2022
.png?width=986&name=cibernos_ebook_cibercumplimiento_portada%20(1).png)