La información constituye un activo de primer orden para Cysnet, ya que resulta imprescindible para la prestación de los servicios que ofrece a terceras partes.
Debido al crecimiento de la influencia de las tecnologías TIC (tecnologías de la información y las comunicaciones) en el tratamiento de la información de las organizaciones. Sin embargo, las mejoras que aportan las TIC al tratamiento de la información vienen acompañadas de nuevos riesgos. Por esa razón es necesario introducir medidas específicas para proteger tanto la información como los servicios que dependen de ella.
La seguridad de la información tiene como objetivo proteger la información y los servicios, reduciendo los riesgos a los que están sometidos hasta un nivel que resulte aceptable. El presente documento establece la Política de Seguridad de la Información de Cysnet para asegurar que todo el personal a su servicio tanto directa como indirectamente, conoce, dirige y da soporte a la seguridad de la información.
Con ello se pretende lograr el alineamiento estratégico de la gestión de la seguridad de la información con las normas internacionales y las regulaciones legislativas existentes en la materia.
Cysnet ha establecido un alineamiento con la gestión de la seguridad de la información según lo establecido en el marco normativo del estándar de mercados ISO27001, reconociendo como activos estratégicos, la información y los sistemas que soportan.
Uno de los objetivos fundamentales de la implantación de esta Política de Seguridad es establecer las bases sobre las que tanto empleados internos, como terceras partes, puedan acceder a los servicios ofrecidos por Cysnet en un entorno seguro y de confianza. Siendo la dirección de Cysnet la responsable de estos y siguientes puntos.
La Política de Seguridad de la Información define el marco global para la gestión de la seguridad de la información protegiendo todos los activos de la información y garantizando la continuidad en el funcionamiento de los sistemas. Se pretende de esta forma minimizar los riesgos derivados de una posible falla en la seguridad y asegurar el cumplimiento de los objetivos de Cysnet ante un hipotético incidente de seguridad de la información.
Para ello, se establecen los siguientes objetivos generales en materia de seguridad de la información:
Esta Política de Seguridad asegura un compromiso continuo y manifiesto de Cysnet, para la difusión y consolidación de la cultura de la seguridad. La dirección de Cysnet asegurará el cumplimiento continuo de estos puntos.
Esta Política de seguridad se aplicará a toda la información de Cysnet. A estos efectos se entiende por Cysnet:
Esta Política no se limita a los datos de carácter personal y es independiente de que el tratamiento sea manual o automatizado.
La legislación en materia de seguridad de la información, que debe servir de referencia, se actualiza de forma continua y se queda reflejado en el “Anexo: Legislación aplicable”.
En relación con las revisiones que puedan realizarse sobre la redacción del texto que constituye la política de seguridad de la información, se distinguirán dos tipos de actividades:
La seguridad de la información corresponde, con las funciones que se señalan para cada uno en este apartado, a los siguientes órganos: Comité de Seguridad de la Información de Cysnet, Responsables de Seguridad y, en caso de que sea pertinente, Responsables de Seguridad Delegados.
En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la Política de Seguridad de la Información, éste será resuelto por la Dirección de Cysnet, y prevalecerán las mayores exigencias derivadas de la protección de datos de carácter personal. Siendo la dirección de Cysnet responsable de su cumplimiento, así como el cumplimiento del artículo 5 de la ISO27001.
Cysnet clasificará e inventariará los activos de la información en virtud de su naturaleza. El nivel de protección y las medidas a aplicar se basarán en el resultado de dicha clasificación.
Cuando un sistema al que afecte ISO27001 maneje datos de carácter personal, le será de aplicación lo dispuesto en Reglamento Europeo 679/2016 de protección de datos y en la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos de Carácter Personal y sus normas de desarrollo, sin perjuicio de los requisitos establecidos en el marco regulatorio del ISO27001 en el ámbito de la Administración Electrónica. Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos de carácter personal.
Todos los sistemas sujetos a esta Política deberán ser sometidos a un análisis y gestión de riesgos, evaluando los activos, amenazas y vulnerabilidades a los que están expuestos y proponiendo las contramedidas adecuadas para mitigar los riesgos. Aunque se precisa un control continuo de los cambios realizados en los sistemas, este análisis se repetirá:
Para la armonización de los análisis de riesgos, se establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.
Se establece un marco normativo en materia de seguridad de la información estructurado por diferentes niveles de forma que los objetivos marcados por el presente documento tengan un desarrollo específico. La política de seguridad estructurará su marco normativo en los siguientes niveles:
Además, se podrán establecer guías con recomendaciones y buenas prácticas.
En la medida de lo posible, toda esta documentación será gestionada según establece el procedimiento vigente de Control de documentos y registros en Cysnet, que tendrá como objetivo establecer los criterios para el control de la documentación y registros de seguridad utilizados en el Sistema de Gestión de la Seguridad de la Información y que se extiende a toda la documentación que da soporte al cumplimiento de ISO27001.
Todo el personal con responsabilidad en el uso, operación, o administración de sistemas de tecnologías de la información y las comunicaciones tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad derivada, independientemente del tipo de relación jurídica que les vincule con Cysnet. Siendo administrados por delegados o responsables designados por la dirección de Cysnet.
Todas las personas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.
La Política de Seguridad estará accesible para todo el personal que preste sus servicios en los órganos y entidades a que se refiere el punto relativo al 'Alcance'.
Con el objetivo de fomentar la 'Cultura de la seguridad', el Comité de Seguridad de la Información promoverá un programa de concienciación continúa para formar a todo el personal. El incumplimiento de la Política de Seguridad y su normativa de desarrollo dará lugar al establecimiento de medidas preventivas y correctivas encaminadas a salvaguardar y proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia de responsabilidad disciplinaria.
Cuando Cysnet preste servicios o ceda información a terceras partes, se les hará partícipe de esta Política de Seguridad de la Información y de las normas e instrucciones derivadas.
Asimismo, cuando Cysnet utilice servicios de terceros o ceda información a terceros se les hará igualmente partícipe de esta Política de Seguridad de la Información y de la normativa e instrucciones de seguridad que ataña a dichos servicios o información. Los terceros quedarán sujetos a las obligaciones y medidas de seguridad establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de detección y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información, al menos al mismo nivel que el establecido en esta Política de Seguridad de la Información.
En concreto, los terceros deberán garantizar el cumplimiento de la política de seguridad de la información basadas en estándares auditables que permitan verificar el cumplimiento de estas políticas. Asimismo, se garantizará mediante auditoría o certificado de destrucción/borrado que la tercera cancela y elimina los datos pertenecientes a Cysnet a la finalización del contrato.
Cuando algún aspecto de la Política de la Seguridad de la Información no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Responsable de la Información y de los Servicios afectados antes de seguir adelante.
Revisión 2 Mayo 2024
En San sebastián, marzo 2024
Marcos Sabourdin