- Exposición de Motivos
Open Cloud Factory, como fabricante de software de Ciberseguridad, depende de los Sistemas
TIC (Tecnologías de Información y Comunicaciones) para conseguir sus objetivos.
Los productos de Open Cloud Factory y los sistemas que los soportan deben ser desarrollados y
administrados con diligencia, tomando las medidas adecuadas desde las fases de diseño para
protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad,
integridad, confidencialidad, autenticidad y trazabilidad de la información tratada, de los
productos desarrollados o de los servicios prestados.
El objetivo de la Seguridad de la Información es garantizar la resiliencia de la organización y su
reputación, la calidad de la información y del software desarrollado, así como la prestación
continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y
reaccionando con presteza en los incidentes.
Para defenderse de las amenazas, se requiere una estrategia capaz de adaptarse a los cambios en
las condiciones del entorno. Esto implica que los departamentos tienen que aplicar las medidas
de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento
continuo de la calidad del software y los niveles de prestación de servicios, seguir, analizar y
corregir las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes.
Los diferentes departamentos tienen que asegurar que la seguridad TIC es una parte integral de
cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio,
pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los
requisitos de seguridad y las necesidades de financiación tienen que ser identificados e incluidos
en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC. Los
departamentos tienen que estar preparados para prevenir, detectar, reaccionar y recuperarse de
incidentes, según el Artículo 7 y el Artículo 8 del ENS.
Para todo ello, Open Cloud Factory cuenta con un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en el Esquema Nacional de Seguridad que sigue un ciclo de mejora continua.
- Misión y Servicios Prestados
Open Cloud Factory es un fabricante europeo de Ciberseguridad que, en el ámbito de la
prestación de sus servicios contribuye a satisfacer las necesidades de sus diferentes clientes,
tanto de la Administración Pública como procedentes del Sector Privado, sirviendo con
objetividad y diligencia los intereses generales. Como Empresa Privada, vela también, por la
gestión de sus propios intereses.
- Alcance
La presente Política aplica a:
- Todos los Departamentos y personas de Open Cloud Factory
- Los Sistemas de Información de Open Cloud Factory
- Los servicios de Soporte que Open Cloud Factory proporciona a sus clientes, tanto del ámbito
público como privado. - Los productos software desarrollados por Open Cloud Factory en cualquiera de sus denominaciones comerciales.
- Los clientes o proveedores externos que tenga acceso a datos internos de Open Cloud Factory
o a sus Sistemas de Información.
- Marco Normativo
Como base normativa para realizar la presente política de seguridad, se ha analizado la legislación
vigente, que afecta al desarrollo de las actividades de la Administración Local y Privada en lo que
a Administración electrónica se refiere, y que implica la implantación de forma explícita de medidas de seguridad en los sistemas de información. El marco legal en materia de Seguridad de
la Información viene establecido por la siguiente legislación:
– Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas.
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Real Decreto 209/2003, de 21 de febrero, por el cual se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos.
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de
Seguridad.
4.1. Procedimiento Administrativo
– Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas.
4.2. Protección de Datos de Carácter Personal
– Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en el que respeta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos).
– Ley 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de los
Derechos Digitales.
4.3. Administración Electrónica
– Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de
Seguridad.
– Real Decreto 4/2010, de 8 de enero, por el cual se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
– Real Decreto‐Ley 14/1999, de 17 de septiembre, sobre firma electrónica, como norma básica
en esta materia.
– Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo (Identificación
electrónica y servicios de confianza para las transacciones electrónicas en el mercado
interior)
– La Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios
electrónicos de confianza.
4.4. Firma Electrónica
– Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014,
relativo a la identificación electrónica y los servicios de confianza para las transacciones
electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
– COM (2001) 298 – final, de la Comisión Europea ‐ Seguridad de las redes y de la información:
Propuesta para un enfoque político europeo.
– Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios
electrónicos de confianza.
4.5. Seguridad de las Redes y de la Información
– Guías de la OCDE para la seguridad de los sistemas de información y redes. Hacia una cultura de seguridad. Como complemento a la legislación vigente, existe en la actualidad la norma internacional UNE ISO/IEC 27002 “Código de Buenas Prácticas para la gestión de la Seguridad de la Información” que se ha configurado como un estándar en la hora de auditar los aspectos relacionados con la Seguridad de la Información en las organizaciones.
- Organización de la Seguridad
5.1. Comités: Funciones y Responsabilidades
El Comité de Seguridad es el Órgano que coordina la Seguridad de la Información a nivel de la
Organización.
Estará constituido por el responsable de Seguridad de la Información y por representantes de
otras áreas afectadas por el ENS.
5.1.1. Funciones Asociadas
Responsabilidades derivadas del tratamiento de datos de carácter personal.
Asunción de la figura de responsable de Servicio para todos los servicios prestados en el marco de la Ley 11/2007.
Asunción de la figura de responsable de la Información para todas las informaciones empleadas por los servicios prestados en el marco de la Ley 11/2007.
Atender las inquietudes de los Órganos superiores competentes y de los diferentes departamentos.
Informar regularmente del estado de la Seguridad de la Información a los Órganos superiores competentes.
Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.
Elaborar la estrategia de evolución de la Organización en cuanto a la Seguridad de la Información.
Coordinar los esfuerzos de las diferentes áreas en materia de Seguridad de la Información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
Elaborar (y revisar regularmente) la Política de Seguridad de la Información para que sea aprobada por los Órganos superiores competentes.
Aprobar la Normativa de Seguridad de la Información.
Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de Seguridad de la Información.
Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones al respeto.
Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones al respecto. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de Seguridad de la Información.
Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
Aprobar planes de mejora de la Seguridad de la Información de la Organización, con sus dotaciones presupuestarias correspondientes. En particular, velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
Velar porque la Seguridad de la Información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, tendrá que velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la Organización, elevando aquellos casos en los cuales no tenga suficiente autoridad para decidir.
El Comité de Seguridad de la Información no es un comité técnico, pero, en caso de ocurrencia de incidentes de Seguridad recabará regularmente del personal técnico, propio o externo, la información pertinente para tomar decisiones.
El Comité de Seguridad de la Información se asesorará de los temas sobre los cuales tenga que decidir o emitir una opinión. Este asesoramiento se determinará en cada caso, pudiendo materializarse de diferentes formas y maneras:
o Grupos de trabajo especializados, internos, externos o mixtos
o Asesoría externa
o Asistencia a cursos u otro tipo de entornos formativos o de intercambio de
experiencias
El responsable de la Seguridad de la Información es el secretario del Comité de
Seguridad de la Información y como tal:
o Convoca las reuniones del Comité de Seguridad de la Información.
o Prepara los temas a tratar en las reuniones del Comité, aportando
información puntual para la toma de decisiones.
o Elabora el acta de las reuniones.
o Es responsable de la ejecución directa o delegada de las decisiones del
Comité.
5.2. Definición de Roles
La Política de Seguridad, según requiere el Anexo II del Esquema Nacional de Seguridad en su sección 3.1, tiene que identificar unos claros responsables para velar por su cumplimiento y ser conocida por todos los miembros de la organización Administrativa.
Se establecen los siguientes roles en la organización relacionados con la Seguridad de la
Información.
5.2.1. Responsable de la Información
Corresponde al nivel de un Órgano de Gobierno de máximo nivel, constituido por los Órganos superiores competentes, que entiende la misión de la organización, determina
los objetivos que se propone conseguir y responde que se consigan.
Sus funciones podrán ser asignadas a personas individuales, o bien ser asumidas por el Comité de Seguridad de la Información.
La persona u órgano que lo asuma tendrá que ser identificada para cada Información que
trate la organización.
5.2.1.1. Funciones Asociadas
Tiene la responsabilidad última del uso que se haga de una cierta información y, por lo tanto, de su protección.
El responsable de la Información delega en el Comité de Seguridad como responsable de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
Establece los requisitos de la información en materia de seguridad. En el marco del ENS, equivale a la potestad de determinar los niveles de Seguridad de la Información.
El responsable de la Información delega en El responsable de cada uno de los Activos como responsable de Determinar los niveles de seguridad en cada dimensión dentro del marco establecido en el Anexo Y del Esquema Nacional de Seguridad.
Aunque la aprobación formal de los niveles corresponda al responsable de la Información, podrá recabar una propuesta del responsable de la Seguridad y del responsable del Sistema.
5.2.1.2. Compatibilidad con otros Roles
Este rol podrá coincidir con el del responsable de Servicio y con el de responsable del tratamiento requerido por el RGPD.
Este rol no podrá coincidir con el de responsable de Seguridad, excepto en organizaciones de reducida dimensión que funcionen de forma autónoma.
Este rol no podrá coincidir con el de responsable de Sistema ni con el de Administrador de la Seguridad del Sistema, ni siquiera cuando se trate de organizaciones de reducida dimensión que funcionen de forma autónoma.
5.2.2. Responsable del Servicio
Cuando sea diferente del responsable de la Información, puede corresponder al nivel de un Órgano de Gobierno de máximo nivel, igual que El responsable de la Información, o bien al de una Dirección ejecutiva o gerencia, que entiende qué hace cada departamento, y como los departamentos se coordinan entre sí para conseguir los objetivos marcados por los Órganos superiores competentes.
Sus funciones podrán ser asignadas a personas individuales, o bien ser asumidas por el Comité de Seguridad de la Información.
El responsable del Servicio delega en El responsable de cada uno de los activos como responsable de determinar los niveles de seguridad en cada dimensión dentro del marco establecido en el Anexo Y del Esquema Nacional de Seguridad.
La persona u órgano que lo asuma tendrá que ser identificada para cada Servicio que
preste la organización.
5.2.2.1. Funciones Asociadas
Establece los requisitos de los servicios en materia de seguridad. En el marco del ENS, equivale a la potestad de determinar los niveles de Seguridad de la Información.
Tiene la responsabilidad última del uso que se haga de determinados servicios y, por lo tanto, de su protección.
El responsable del servicio es El responsable último de cualquier error o negligencia que lleve a un incidente de disponibilidad de los servicios.
Determinará los niveles de seguridad en cada dimensión del servicio dentro del marco establecido en el Anexo Y del Esquema Nacional de Seguridad.
Aunque la aprobación formal de los niveles corresponda al responsable del Servicio, podrá recabar una propuesta del responsable de la Seguridad y del responsable del Sistema.
La prestación de un servicio siempre tiene que atender a los requisitos de Seguridad de la Información que maneja, de forma que pueden heredar los requisitos de seguridad del mismo, añadiendo requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc.
5.2.2.2. Compatibilidad con otros Roles
Podrá coincidir en la misma persona u órgano el rol de responsable de la Información y del responsable del Servicio, aunque generalmente no coincidirán cuándo:
El servicio gestione información de diferentes procedencias, no necesariamente de la misma unidad departamental que la que presta el servicio.
La prestación del servicio no dependa de la unidad a la cual pertenece El responsable de la Información.
Este rol podrá coincidir con el del responsable de Servicio y con el de responsable de Fichero requerido por el RGPD.
Este rol no podrá coincidir con el de responsable de Seguridad, excepto en organizaciones de reducida dimensión que funcionen de forma autónoma.
Este rol no podrá coincidir con el de responsable de Sistema ni con el de Administrador de la Seguridad del Sistema, ni siquiera cuando se trate de organizaciones de reducida dimensión que funcionen de forma autónoma.
5.2.3. Responsable del Seguridad de la Información
Corresponde al nivel de una Dirección ejecutiva o Gerencia.
Se nombrará formalmente como tal a una única persona en la organización. El rol no podrá ser desarrollado por un órgano colegiado, ni podrá haber más de una persona asumiendo el rol en la organización, aunque pueda delegar parte de sus funciones en otras personas.
5.2.3.1. Funciones Asociadas
Reportará directamente al Comité de Seguridad de la Información.
Actuará como secretario del Comité de Seguridad de la Información.
Convocará al Comité de Seguridad de la Información, recopilando la información pertinente.
Pertenecerá al Comité de Seguridad Corporativa, para coordinar las necesidades de Seguridad de la Información en el marco del resto de necesidades de Seguridad Corporativa.
Mantendrá la Seguridad de la Información empleada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, según el que establece en la Política de Seguridad de la Organización.
Promoverá la formación y concienciación en materia de Seguridad de la Información dentro de su ámbito de responsabilidad.
Recopilará los requisitos de seguridad de los responsables de Información y del Servicio y determinará la categoría del Sistema.
Realizará el Análisis de Riesgos.
Elaborará una Declaración de Aplicabilidad a partir de las medidas de seguridad requeridas conforme al Anexo II del ENS y del resultado del Análisis de Riesgos.
Facilitará a los responsables de Información y a los Responsables de Servicio, información sobre el nivel de riesgo residual esperado después de implementar las opciones de tratamiento seleccionadas en el análisis de riesgos y las medidas de seguridad requeridas por el ENS.
Coordinará la elaboración de la Documentación de Seguridad del Sistema.
Participará en la elaboración, en el marco del Comité de Seguridad de la Información, la Política de Seguridad de la Información, para su aprobación por la Dirección.
Participará en la elaboración y aprobación, en el marco del Comité de Seguridad de la Información, de la normativa de Seguridad de la Información.
Elaborará y aprobará los Procedimientos Operativos de Seguridad de la Información.
Facilitará periódicamente al Comité de Seguridad un resumen de actuaciones en materia de seguridad, de incidentes relativos a Seguridad de la Información y del estado de la seguridad del sistema (en particular del nivel de riesgo residual al que está expuesto el sistema).
Elaborará, junto a los responsables de Sistemas, Planes de Mejora de la Seguridad, para su aprobación por el Comité de Seguridad de la Información.
Elaborará los Planes de Formación y Concienciación del personal en Seguridad de la Información, que tendrán que ser aprobados por el Comité de Seguridad de la Información.
Validará los Planes de Continuidad de Sistemas que elabore El responsable de Sistemas, que tendrán que ser aprobados por el Comité de Seguridad de la Información y probados periódicamente por el responsable de Sistemas.
Aprobará las directrices propuestas por los responsables de Sistemas para considerar la Seguridad de la Información durante todo el ciclo de vida de los activos y procesos: especificación, arquitectura, desarrollo, operación y cambios.
5.2.3.2. En caso de Ocurrencia de Incidentes de Seguridad de la Información
Analizará y propondrá salvaguardas que prevengan incidentes similares en un futuro.
5.2.3.3. Compatibilidad con otros Roles
Este rol únicamente podrá coincidir con la del responsable de Servicio y El responsable de Información en organizaciones de reducidas dimensiones que tengan una estructura autónoma de funcionamiento.
Este rol no podrá coincidir con el de responsable de Sistema y el de Administrador de Seguridad del Sistema, aunque se trate de organizaciones de reducidas dimensiones que tengan una estructura autónoma de funcionamiento.
5.2.3.4. Delegación de Funciones
Por determinados Sistemas de Información que, por su complejidad, distribución, separación física de sus elementos o número de usuarios se necesite de personal adicional para llevar a cabo las funciones de responsable de la Seguridad, se podrán designar los Responsables de Seguridad Delegados que se consideren necesarios.
La designación corresponde al responsable de la Seguridad. Por medio de la designación de delegados, se delegan funciones. La responsabilidad final seguirá recayendo sobre El responsable de la Seguridad.
Los responsables de Seguridad Delegados se harán cargo, en su ámbito, de todas aquellas acciones que delegue El responsable de la Seguridad, pudiendo ser, por ejemplo, la seguridad de sistemas de información concretos o de sistemas de información horizontales.
Cada responsable de Seguridad Delegado tendrá una dependencia funcional directa del responsable de la Seguridad, que es a quien reportan. La delegación de funciones pasará previamente por el comité.
5.2.4. Responsable del Sistema
Corresponde al nivel de una Dirección Operativa.
Se nombrará formalmente como tal a una única persona para cada Sistema. El rol no podrá ser desarrollado por un órgano colegiado, aunque pueda delegar parte de sus funciones en otras personas.
5.2.4.1. Funciones Asociadas
Sus funciones serán las siguientes:
Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
Cerciorarse que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
El responsable del Sistema puede acordar la suspensión del uso de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión tiene que ser acordada con los responsables de la Información afectada, del Servicio afectado y con El responsable de la Seguridad antes de ser ejecutada.
Aplicar los procedimientos operativos de seguridad elaborados y aprobados por el responsable de Seguridad.
Monitorizar el estado de la seguridad del Sistema de Información y reportarlo periódicamente, o ante incidentes de seguridad relevantes, al responsable de Seguridad de la Información.
Elaborar los Planes de Continuidad del Sistema porque sean validados por el responsable de Seguridad de la Información, y coordinados y aprobados por el Comité de Seguridad de la Información.
Realizar ejercicios y pruebas periódicas de los Planes de Continuidad del Sistema para mantenerlos actualizados y verificar que son efectivos.
Elaborará las directrices para considerar la Seguridad de la Información durante todo el ciclo de vida de los activos y procesos (especificación, arquitectura, desarrollo, operación y cambios) y las facilitará al responsable de Seguridad de la Información para su aprobación.
5.2.4.2. En caso de Ocurrencia de Incidentes de Seguridad de la Información
Planificará la implantación de las salvaguardas en el sistema.
Ejecutará el plan de seguridad aprobado.
5.2.4.3. Compatibilidad con otros Roles
Este rol no podrá coincidir con el de responsable de Información, con el de responsable de Servicio.
Este rol podrá coincidir con el de Administrador de Seguridad del Sistema en organizaciones de una dimensión reducida o media que tengan una estructura autónoma de funcionamiento.
En grandes organizaciones no tendría que coincidir con el de Administrador de la Seguridad del Sistema, independientemente del tamaño del Sistema.
5.2.5. Administrador de la Seguridad del Sistema
Corresponde al nivel de un empleado calificado en seguridad informática de sistemas. Podrá nombrarse formalmente como tales varias personas para cada Sistema. El rol no podrá ser desarrollado por un órgano colegiado, ni podrá delegar parte de sus funciones en otras personas.
Si procede, se nombrarían nuevos Administradores de la Seguridad del Sistema.
Será propuesto por el responsable del Sistema, a quien reportará en todo lo relacionado con Seguridad de la Información.
5.2.5.1. Funciones Asociadas
La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al Sistema de Información.
Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
Asegurar que la trazabilidad, pistas de auditoría y otros registros de seguridad requeridos se encuentren habilitados y registren con la frecuencia deseada, de acuerdo con la política de seguridad establecida por la Organización.
Aplicar a los Sistemas, usuarios y otros activos y recursos relacionados con el mismo, tanto internos como externos, los Procedimientos Operativos de Seguridad y los mecanismos y servicios de seguridad requeridos.
Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de información y los mecanismos y servicios de seguridad requeridos.
La gestión, configuración y actualización, si procede, del hardware y software en los cuales se basan los mecanismos y servicios de seguridad del Sistema de Información.
Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida.
Aprobar los cambios en la configuración vigente del Sistema de Información, garantizando que sigan operativos los mecanismos y servicios de seguridad habilitados.
Informar a los responsables de la Seguridad y del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
Monitorizar el estado de la seguridad del sistema.
5.2.5.2. En Caso de Ocurrencia de Incidentes de Seguridad de la Información
Llevar a cabo el registro, contabilidad y gestión de los incidentes de seguridad en los Sistemas bajo su responsabilidad.
Ejecutar el Plan de Seguridad aprobado.
Aislar el incidente para evitar la propagación a elementos ajenos a la situación de riesgo.
Tomar decisiones a corto plazo si la información se ha visto comprometida de tal forma que pudiera tener consecuencias graves (estas actuaciones tendrían que estar documentadas para reducir el margen de discrecionalidad del Administrador de Seguridad del Sistema al mínimo número de casos).
Asegurar la integridad de los elementos críticos del Sistema si se ha visto afectada la disponibilidad en los mismos (estas actuaciones quedarán documentadas para reducir el margen de discrecionalidad del Administrador de Seguridad del Sistema al mínimo número de casos).
Mantener y recuperar la información almacenada por el Sistema y sus servicios asociados.
Investigar el incidente: Determinar la manera, los medios, los motivos y el origen del incidente.
5.2.5.3. Compatibilidad con otros Roles
Este rol no podrá coincidir con el de responsable de Información, con el de responsable de Servicio ni con el de responsable de Seguridad Corporativa o de la Información.
Este rol podrá coincidir con el de responsable del Sistema en organizaciones de una
dimensión reducida o media que tengan una estructura autónoma de funcionamiento.
En grandes organizaciones no tendría que coincidir con el de responsable del Sistema, independientemente del tamaño del Sistema.
5.2.5.4. Delegación de Funciones
En determinados sistemas de información que, por su complejidad, distribución, separación física de sus elementos o número de usuarios requieran de personal adicional para llevar a cabo sus funciones, se podrán designar Administradores de Seguridad del Sistema delegados.
Los Administradores de Seguridad del Sistema delegados serán responsables, en su ámbito, de aquellas acciones que delegue el Administrador de Seguridad del Sistema relacionadas con la implantación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.
El Administrador de Seguridad del Sistema delegado será designado a solicitud del Administrador de Seguridad del Sistema, del que dependerá funcionalmente.
La delegación de funciones pasará previamente por el comité.
Su identidad aparecerá reflejada en la documentación de seguridad del sistema de información.
5.2.6. Responsable en materia de Protección de Datos
5.2.6.1. Designación o no de un Delegado de Protección de Datos
El artículo 37 del RGPD establece que el responsable y el encargado del tratamiento deben designar un Delegado de Protección de Datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
En este caso, Open Cloud Factory no cumple ninguno de los requisitos anteriores, por lo que no necesita establecer la figura del Delegado de Protección de Datos. Sí existe, sin embargo, El responsable en materia de protección de datos, que tiene encomendadas funciones similares a las que se le atribuye a un Delegado de Protección de Datos.
5.2.6.2. Artículo 39 del RGPD
El Delegado de Protección de Datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o el encargado del tratamiento y los empleados que se ocupen del tratamiento, de las obligaciones que les incumben en virtud de este Reglamento y otras disposiciones de protección de datos de la Unión o de los estados miembros.
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del
encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las
operaciones de tratamiento, y las auditorías correspondientes.
c) ofrecer el asesoramiento que se le pida sobre la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del reglamento.
d) cooperar con la autoridad de control.
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del reglamento, y realizar consultas, en su caso, sobre cualquier otro asunto.
5.2.6.3. Según el RGPD, la posición del DPO/DPD comporta:
- La participación de forma adecuada y en tiempo oportuno en todas las cuestiones
relativas a la protección de datos personales. - Recibir el apoyo del responsable o encargado, que deberán facilitarle los recursos
necesarios para el cumplimiento de sus funciones. - No recibir ninguna instrucción en cuanto al ejercicio de estas funciones y no ser
destituido ni sancionado por el responsable o el encargado por causas relacionadas
con este ejercicio de funciones. - Rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado.
- Esta característica debe interpretarse en el sentido de que el DPD debe poder
relacionarse con niveles jerárquicos que tengan la capacidad de adoptar o
promover decisiones basadas en las recomendaciones, propuestas o
evaluaciones que realice el DPD.
- Esta característica debe interpretarse en el sentido de que el DPD debe poder
- Datos de Carácter Personal
Open Cloud Factory trata datos de carácter personal. Ver: Registro de Actividades del Tratamiento (RAT) donde se recogen los ficheros afectados y los correspondientes responsables.
Todos los sistemas de información de Open Cloud Factory se ajustarán a los niveles de seguridad requeridos por la normativa, a fin y efecto, de la naturaleza y finalidad de los datos de carácter personal recogidos.
- Gestión de Riesgos
7.1. Justificación
Todos los sistemas sujetos a esta Política tendrán que realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los cuales están expuestos.
El análisis de riesgos será la base para determinar las medidas de seguridad que se tienen que adoptar además de los mínimos establecidos por el Esquema Nacional de Seguridad, según el previsto en el Artículo 7 del ENS.
7.2. Criterios de Evaluación de Riesgos
Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejada y los diferentes servicios prestados.
Los criterios de evaluación de riesgos detallados se especificarán en la metodología de evaluación de riesgos que elaborará la organización, basándose en estándares y buenas prácticas reconocidas.
Tendrán que tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los servicios o el cumplimiento de la misión de la organización de forma grave.
Se priorizarán especialmente los riesgos que impliquen un cese en la prestación de los servicios
prestados.
7.3. Directrices de tratamiento
El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
7.4. Proceso de Aceptación del Riesgo Residual
Los riesgos residuales serán determinados por el responsable de Seguridad de la Información.
Los niveles de Riesgo residuales esperados sobre cada Información después de la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) tendrán que ser aceptados previamente por su responsable de esta Información.
Los niveles de riesgo residuales esperados sobre cada servicio después de la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) y tendrán que ser aceptados previamente por el responsable de este Servicio.
Los niveles de riesgo residuales serán presentados por el responsable de Seguridad de la Información al Comité de Seguridad de la Información, porque este proceda, si procede, a evaluar, aprobar o rectificar las opciones de tratamiento propuestas.
7.5. Necesidad de realizar o actualizar evaluaciones de riesgos
El análisis de los riesgos y su tratamiento tiene que ser una actividad repetida regularmente, conforme lo que establece en el Artículo 7 del ENS. Este análisis se repetirá:
o Regularmente, al menos una vez en el año.
o Cuando se produzcan cambios significativos en la información manejada.
o Cuando se produzcan cambios significativos en los servicios prestados.
o Cuando se produzcan cambios significativos en los sistemas que tratan la información e
intervienen en la prestación de los servicios.
o Cuando ocurra un incidente grave de seguridad.
o Cuando se reporten vulnerabilidades graves.
- Gestión de Incidentes de Seguridad
8.1. Prevención
Los departamentos tienen que evitar, o al menos prevenir en lo posible, que la información, los productos desarrollados o los servicios prestados se vean perjudicados por incidentes de seguridad. El ENS a través de su artículo 19 establece que los sistemas tienen que diseñarse y configurarse de forma que garanticen la seguridad por defecto, en línea con la política de mínimo privilegio “Need to Know”. De igual forma, el artículo 17 del citado ENS define que los sistemas se instalarán en áreas separadas, dotadas de un procedimiento de control de acceso.
Para lo cual los departamentos tienen que implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, tienen que estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, los departamentos tienen que:
o Establecer áreas seguras para los sistemas de información crítica o confidencial.
o Autorizar los sistemas antes de entrar en operación.
o Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración
realizados de forma rutinaria.
o Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación
independiente.
8.2. Detección
Dado que los sistemas se pueden degradar rápidamente a causa de incidentes, que van desde una simple desaceleración de las operaciones hasta su detención o, paralelamente, pueden producirse modificaciones no autorizadas en el código desarrollado, con potencial afectación a múltiples clientes de Open Cloud Factory, deben establecerse mecanismos de monitorización continua para detectar anomalías en los niveles de prestación de dichos servicio, así como cambios o accesos no autorizados a los repositorios de código y actuar en consecuencia según lo establecido en el Artículo 8 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
Los sistemas de detección de intrusos cumplen fundamentalmente con una labor de supervisión y auditoría sobre los recursos de la Organización, verificando que la política de seguridad no es violada e intentando identificar cualquier tipo de actividad maliciosa de una forma temprana y eficaz.
Se tendrán que establecer, en función de las necesidades, las siguientes clasificaciones:
o Sistemas de detección de intrusos a nivel de red.
o Sistemas de detección de intrusos a nivel de sistema.
8.3. Respuesta
La Organización, a través de sus diferentes departamentos, debe.
- Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
- Designar un punto único de contacto para las comunicaciones en cuanto a incidentes de seguridad detectados dentro de la Organización, o bien a aquellos que afecten a otros organismos
- Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT)
8.4. Recuperación
Para garantizar el correcto restablecimiento de los servicios, la Organización debe desarrollar Planes de Continuidad de los sistemas TIC como parte de su Plan General de Continuidad de Negocio y las correspondientes actividades de recuperación.
- Obligaciones del Personal
Todos los miembros de la Organización tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, es responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los
afectados.
El cumplimiento de la presente Política de Seguridad es obligatorio por parte de todo el personal interno o externo que intervenga en los procesos de la organización, constituyendo su incumplimiento, infracción grave a efectos laborales, conforme al convenio colectivo laboral.
Ver la Normativa de Seguridad: SI-NO-02 Normativa de Seguridad
- Formación y Concienciación del Personal
El objetivo de Open Cloud Factory es concienciar de forma continua en la Ciberseguridad a los empleados, para ello, se realizan:
- Formación inicial a la incorporación de los empleados a la organización
- Envío periódico de píldoras de concienciación en Ciberseguridad.
- Envío periódico de píldoras informativas de Ciberseguridad, respondiendo a situaciones de riesgo.
- Formación anual a todo el personal de actualización en Ciberseguridad.
- Formación específica según el puesto de trabajo y necesidades concretas.
La Dirección se compromete a la formación y concienciación del personal de Open Cloud Factory.
- Terceras Partes
Cuando se presten servicios o se gestione información otras organizaciones, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales de reporte y coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando se utilicen servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que concierna a estos servicios o información. Esta tercera parte quedará sujeta a las obligaciones establecidas en esta normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Se establecerán procedimientos específicos de reporte y resolución de incidencias.
Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que establece en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
- Revisión y Aprobación de la Política de Seguridad
La Política de Seguridad de la Información será revisada por el Comité de Seguridad de la Información a intervalos planificados, que no podrán exceder el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.
Los cambios sobre la Política de Seguridad de la Información tendrán que ser aprobados por el órgano superior competente que corresponda, de acuerdo con el artículo 11, en el Capítulo III Artículo 12 del ENS.
Cualquier cambio sobre la misma tendrá que ser difundido a todas las partes afectadas.
La Política de Seguridad estará Notificada, Comunicada y disponible para todo el personal de Open Cloud Factory.
- Referencias
SI-NO-02 Normativa de Seguridad
Funciones y Responsabilidades – Matriz RACI
Acceso al documento original: