Política de Seguridad del ENS
Este documento expone la Política de Seguridad de la Información de GEMED SOLUCIONES (en lo adelante GEMED), como el conjunto de principios básicos y líneas de actuación a los que la organización se compromete, en el marco del Esquema Nacional de Seguridad (en lo adelante ENS).
El Real Decreto 311/2022, del 3 de mayo, en el artículo 12 del BOE establece la Política como el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta.
Los diferentes departamentos deben contrastar que la seguridad de las Tecnologías de Información y las Comunicaciones TIC como una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación y en la solicitud de propuestas a proveedores para proyectos TIC.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución que incide en la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que el departamento de Seguridad y TIC debe realizar un seguimiento continuo de los niveles de prestación de servicios, analizar las vulnerabilidades reportadas y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios.
Revisión y aprobación de la política de seguridad
Esta “Política de Seguridad de la Información” es efectiva desde su entrada en vigor el día 20 de noviembre de 2023 por GEMED SOLUCIONES y las posteriores actualizaciones quedarán aprobadas con la firma de la Política.
La Política de Seguridad de la Información será revisada por el Comité de Seguridad de la Información a intervalos planificados, que no excederá el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.
La dirección de la empresa es consciente del valor de la información y está profundamente comprometida con la política descrita en este documento.
Objetivo
La empresa depende de la información y de los sistemas TIC para alcanzar sus objetivos. Estos sistemas deben ser administrados con presteza, tomando las medidas de seguridad adecuadas para proteger los soportes, medios de transmisión, sistemas, o personas que intervengan en su tratamiento que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información y los servicios.
El objetivo de la seguridad de la información es garantizar la protección de los sistemas, la calidad de la información, la continuidad del negocio, actuando preventivamente para minimizar los riesgos, supervisando la actividad diaria, reaccionando con presteza a los incidentes, permitiendo maximizar el retorno de las inversiones y las oportunidades de negocio.
Alcance
La seguridad de la información es un proceso que requiere medios técnicos, humanos, una adecuada gestión y definición de los procedimientos; donde es fundamental la máxima colaboración e implicación de todo el personal de la empresa. Esta política se aplica a todos los Sistemas de Información de GEMED SOLUCIONES, S.L.
GEMED cuenta con un alcance de la norma ISO/IEC 27001: “Los sistemas de seguridad de la información que dan soporte a servicios de consultoría en seguridad, ciberseguridad, servicios de centro de operaciones de seguridad (SOC) como equipo de respuesta a incidentes de seguridad (CSIRT) y servicios de seguridad pasiva (compraventa de precintos y cámaras de seguridad) según la declaración de aplicabilidad versión 23/06.
Los sistemas de información de GEMED Soluciones cubre todas las áreas de la empresa y se encuentran definidos en el alcance del ENS. La presente política de Seguridad de la Información se ha llevado a cabo sobre el alcance del ENS definido por la organización:
“Los Sistema de Información que dan soporte a la prestación de los servicios a las organizaciones públicas y privadas:
- Consultoría e implantación de ciberseguridad, cumplimiento normativo, Esquema Nacional de Seguridad, estándares de seguridad de la información, continuidad de negocio y normativa vigente en materia de protección de datos de carácter personal.
- Servicio de entrenamiento y concienciación en seguridad de la información.
- Monitorización, Operación y Administración remota de Sistemas, SOC/CSIRT, ciberseguridad gestionada y hacking ético.
- Seguridad pasiva (compra venta de precintos y cámaras de seguridad).
Según el documento de categorización vigente del sistema.”
Misión
El propósito de esta Política de Seguridad de la Información es proteger la información de los servicios de GEMED.
- El Plan Director de Seguridad de la Información (PDSI): consiste en la definición y priorización de un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial. Permite incorporar el pilar seguridad de la información al plan de transformación digital. Se desarrollan políticas, procedimientos según las necesidades específicas de cada compañía. Proporciona una base sólida y objetiva, para planificar y priorizar las inversiones en materia de seguridad de la información.
- La Gestión del Riesgo Humano: es una solución dotada de herramientas especializadas dirigidas a mejorar los hábitos, el nivel de entrenamiento y de concienciación de los empleados, permitiendo elevar los niveles de seguridad para combatir las amenazas y vulnerabilidades.
- La Evaluación del Coeficiente de Seguridad Organizacional (CSO): analiza detalladamente la superficie de exposición de una compañía según su actividad, de esta manera se obtiene una visión global del estado de la seguridad de la empresa. Esto permitirá diseñar la estrategia más adecuada y desarrollar las medidas dirigidas a prevenir fugas de información externas e internas.
- La Monitorización y Gestión de Seguridad: Security Operation Center (SOC) pone a disposición de los clientes un servicio de monitorización y respuesta a incidentes que libera a las organizaciones de disponer de perfiles técnicos tan especializados y en número suficiente para realizar esta tarea por sí mismos.
- El Red Team: es un equipo conformado por especialistas ingenieros en ciberseguridad que simularán un agente hostil, ya sea externo o interno, con la finalidad de interrumpir operativas, extorsionar, robar datos o efectuar fraudes de forma controlada. Multiplicando la visibilidad de todo lo que no ven sus sistemas de seguridad y alertas actuales; mediante Auditorías WhiteBox, Auditorías BlackBox, Pentesting, Análisis forense y Test de seguridad perimetral.
- En Ingeniería de Seguridad: nos especializamos en la compraventa de cámaras de seguridad que garanticen la protección y tranquilidad de nuestros clientes. Ofrecemos productos de la más alta calidad, proporcionando soluciones innovadoras y efectivas con altos niveles de ciberseguridad.
- Seguridad Pasiva: comercialización y distribución de precintos de seguridad, sobres de seguridad, valijas y botellas de seguridad. El Precinto es un dispositivo físico, numerado y marcado con un logo/nombre que se coloca sobre mecanismos de cierres, para asegurar que estos no se abran sin la autorización de una organización.
Marco Normativo
La base normativa que afecta al desarrollo de las actividades y competencias de GEMED, que implica la implantación de forma explícita de medidas de seguridad en los sistemas de información y está constituida por la siguiente legislación:
- Real Decreto por el que se regula el Esquema Nacional de Seguridad.
- Real Decreto por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, cuya finalidad es la creación de las condiciones necesarias para garantizar el adecuado nivel de interoperabilidad técnica, semántica y organizativa de los sistemas y aplicaciones empleados por las Administraciones públicas, que permita el ejercicio de derechos y el cumplimiento de deberes a través del acceso electrónico a los servicios públicos, a la vez que redunda en beneficio de la eficacia y la eficiencia.
- Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.
- Reglamento (UE) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Conocido como Reglamento general de protección de datos (RGPD).
- UNE-EN ISO/IEC 27001 es idéntica a la norma internacional ISO/IEC 27001.Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).
- UNE-EN ISO/IEC 27002 que es igual que las normas internacionales ISO/IEC 27002 Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información.
- Legislación consolidada de Servicios de la Sociedad de la Información y de Comercio Electrónico. (LSSICE).
- Real Decreto 43/2021, de seguridad de las redes y sistemas de información.
- Real Decreto Legislativo por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia. (Ministerio de cultura)
- Ley por la que se modifica el texto refundido de la Ley de Propiedad Intelectual y por el que se incorporan al ordenamiento jurídico español.
- Ley del Procedimiento Administrativo Común de las Administraciones Públicas. (Nos afecta en la medida de que somos operadores con la administración pública, tanto a nivel tributario, laboral, censal, comercial, etc.)
- Real Decreto medidas en materia de administración digital, contratación del sector público y telecomunicaciones. (La aplicación de esta norma va en relación con los accesos electrónicos, mediante una modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.)
- Resolución de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el ENS.
- Resolución de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
- Guías de las series 400, 500, 600 y 800 del CCN-CERT.
- Guía de Seguridad de las TIC CCN-STIC 800 ENS. Glosario de términos y abreviaturas.
- Guía de Seguridad de las TIC CCN-STIC 801 ENS. Responsabilidades y funciones.
- Guía de Seguridad de las TIC CCN-STIC 802 ENS. Guía de auditoría
- Guía de Seguridad de las TIC CCN-STIC 803 ENS. Valoración de los sistemas
- Guía de Seguridad de las TIC CCN-STIC 803 Anexo I – Valoración de los sistemas en Universidades
- Guía de Seguridad de las TIC CCN-STIC 804 ENS. Guía de implantación.
- Guía de Seguridad de las TIC CCN-STIC 805 ENS. Política de seguridad de la información.
- Guía de Seguridad de las TIC CCN-STIC 806 Plan de Adecuación al ENS.
- Guía de Seguridad de las TIC CCN-STIC 807 Criptología de empleo en el ENS.
- Guía de Seguridad de las TIC CCN-STIC 808 Verificación del cumplimiento del ENS.
- Guía de Seguridad de las TIC CCN-STIC 809 Declaración, certificación y aprobación provisional de conformidad con el ENS y distintivos de cumplimiento.
- Guía de Seguridad de las TIC CCN-STIC 825 ENS. Certificaciones 27001
GEMED será responsable de identificar las guías de seguridad del Listado de Guías CCN‐STIC, que serán de aplicación para mejorar el cumplimiento de lo establecido en el ENS, ver Anexo B. Listado de Guías CCN-STIC.
También, forman parte del marco normativo las restantes normas aplicables a GEMED derivadas de las anteriores y publicadas comprendidas dentro del ámbito de aplicación de la presente Política.
El mantenimiento del marco normativo será responsabilidad del Comité de Gestión de Seguridad de la Información de GEMED y se mantendrá actualizado en el registro Requisitos Legales. Además, se dispondrá de las instrucciones técnicas y las guías de seguridad de obligado cumplimiento, publicadas mediante resolución de la Secretaría de Estado de Administraciones Públicas y aprobadas por el Ministerio de Hacienda y Administraciones Públicas, a propuREGesta del Comité Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional.
Roles de Seguridad y Responsabilidad
Teniendo en cuenta el artículo 11 del BOE, se debe identificar unos claros responsables para velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa. Se detallarán en la política de seguridad de la organización las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.
La gestión de la seguridad de los sistemas de información exige establecer una organización de la seguridad. Determinando con precisión los diferentes actores que la conforman, sus funciones y responsabilidades, así como la implantación de una estructura que la soporte.
Los diferentes roles junto con sus respectivas funciones y responsabilidades están reflejados en la Matriz de Roles y Responsabilidades del departamento de Seguridad y TIC
El Responsable de la Información: será el CIO quien determine los requisitos de la información tratada según el artículo 13 del BOE y tendrá como funciones las que se muestran a continuación.
- Velar por la seguridad de la información en sus diferentes vertientes: protección física, protección de los servicios y respeto de la privacidad.
- Es miembro del Comité de Gestión de Seguridad de la Información y responsable de que se elaboren las actas de las reuniones, de la ejecución directa o delegada de las decisiones del Comité.
- Es responsable de estar al tanto de cambios normativos (leyes, reglamentos o prácticas sectoriales) que afecten a la Organización.
- Se debe incorporar al Comité de Crisis en caso de desastres y coordinará todas las actuaciones relacionadas con cualquier aspecto de la seguridad de la Organización.
- Escuchar las inquietudes de la Dirección, de los responsables de seguridad y las debe incorporar al orden del día para su discusión en las reuniones del Comité, aportando información puntual para la toma de decisiones.
- Valorar las consecuencias de un impacto negativo sobre la seguridad de la información se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos.
- Determinar las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de seguridad y de sistema.
- Elaborar los requisitos de formación, calificación de administradores y usuarios desde el punto de vista de seguridad de las TIC, para su aprobación por el Comité.
- Coordinar la investigación forense relacionada con incidentes que se consideren relevantes.
El Responsable del Servicio: será el CIO quien o determine los requisitos de los servicios prestados según el artículo 13 del BOE y tendrá como funciones las que se muestran a continuación.
- Revisar y aprobar los niveles de seguridad de los servicios.
- Poder incluir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
- Valorar las consecuencias de un impacto negativo sobre la seguridad de los servicios, se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de las personas.
- Es responsable de la presentación regular de informes sobre el estado de seguridad de los servicios TIC. Estos informes se presentarán al comité.
- Es el interlocutor oficial en comunicaciones con otras organizaciones, tarea que puede asumir personalmente o delegar según las circunstancias, pero nunca debe haber más de un interlocutor.
- Exigir de las organizaciones que prestan servicios de seguridad a la organización, que cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.
- Adquirir productos de seguridad de las TIC que se utilizarán de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
El Responsable de Seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones según el artículo 13 del BOE. Además, tiene la responsabilidad y autoridad para:
- Estar al tanto de los cambios de la tecnología y/o del entorno en el que vive la organización, tales que afecten a la organización, debiendo informarse de las consecuencias para las actividades de la Seguridad de las TIC, alertando al Comité y proponiendo las medidas oportunas de adecuación al nuevo marco.
- Redactar los procedimientos de actuación relativo al uso de los servicios TIC. Estos procedimientos se presentarán al Comité para su aprobación.
- Ejecutar correctamente las instrucciones del Comité, ejecución que se materializará transmitiendo instrucciones al Responsable del Sistema.
- Preparar los informes en caso de incidentes excepcionalmente graves y en caso de desastres. Se presentará un informe detallado al Comité y al Comité de Crisis respectivamente.
- Elaborar un Análisis de Riesgos de los sistemas de las TIC, que será presentado al Comité para su aprobación y deberá actualizarse regularmente (por ejemplo, cada 6 meses, aunque depende de la criticidad del sistema).
- Ejecutar regularmente verificaciones de seguridad según un plan predeterminado y aprobado por el Comité. Los resultados de estas inspecciones se presentarán al Comité para su conocimiento y aprobación. Si como resultado de la inspección aparecen incumplimientos, el Responsable propondrá medidas correctoras que presentará al Comité para su aprobación, responsabilizándose de que sean llevadas a cabo.
- Elaborar y seguir el Plan de Seguridad, donde intervendrán los diferentes Responsables y será presentado al Comité para su aprobación.
- Identificar las tareas de administración y operación que garanticen la satisfacción de los criterios y requisitos de segregación de tareas impuestos por el Comité.
- Coordinar la respuesta ante incidentes que desborden los casos previstos y procedimentados.
- Seleccionar la relación de medidas del Anexo II del real decreto donde se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el Responsable de la Seguridad.
- Referenciar las medidas de seguridad en el Anexo II donde podrán ser reemplazadas por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos (Anexo I) y se satisfacen los principios básicos y los requisitos mínimos previstos en los capítulos II y III del real decreto.
- Indicar de forma detallada como parte integral de la Declaración de Aplicabilidad la correspondencia entre las medidas compensatorias implantadas y las medidas del Anexo II del real decreto y el conjunto será objeto de la aprobación formal por parte del responsable de la seguridad.
- Deberá analizar los informes de autoevaluación y/o los informes de auditoría, que elevará las conclusiones al Responsable del Sistema para que adopte las medidas correctoras adecuadas.
El Responsable del Sistema del ENS se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad según el artículo 13 del BOE. Además, tiene la responsabilidad y autoridad de:
- Realizar la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de la Seguridad.
- Adoptar las medidas correctoras adecuadas de las conclusiones de los informes de autoevaluación y/o los informes de auditoría.
- Encargar la implantación, configuración y mantenimiento de los servicios de seguridad relacionados con las TIC.
- Realizar las tareas de administración del Sistema.
- Realizar las tareas de configuración, mantenimiento y optimización de las bases de datos.
- Llevar a cabo el registro, contabilidad y gestión de los incidentes de seguridad en los sistemas de información bajo su responsabilidad.
- Aislar el incidente para evitar la propagación a elementos ajenos a la situación de riesgo.
- Tomar decisiones a corto plazo si la información se ha visto comprometida y pudiera tener consecuencias graves.
- Asegurar la integridad de los elementos críticos del sistema de información si se ha visto afectada la disponibilidad de estos.
- Mantener y recuperar la información almacenada por el sistema de información y sus servicios asociados.
- Investigar el incidente: determinar el modo, los medios, los motivos y el origen del incidente.
- Planificar la implantación de las salvaguardas en el sistema.
- Ejecutar el plan de mejora de la seguridad aprobado.
- Se encarga de las tareas de administración de red, siendo responsable de aspectos de seguridad, como enrutamiento y filtrado, relativos a la infraestructura de red (routers / switches, dispositivos de protección de perímetro, redes privadas virtuales, detección de intrusos, dispositivos trampas, etc.)
- Encargado de los procedimientos relacionados con la generación, custodia, explotación y terminación de claves de cifrado.
Los Usuarios tienen la responsabilidad de:
- Los usuarios se relacionan con los servicios TIC para cumplir sus obligaciones laborales. Son el personal autorizado para acceder al Sistema utilizando las posibilidades que les ofrece el mismo.
- Los usuarios juegan un papel fundamental en el mantenimiento de la seguridad del Sistema, por lo tanto, es fundamental su concienciación en la seguridad de las TIC ya que en la mayoría de los casos constituyen voluntaria o involuntariamente la principal amenaza para el propio Sistema.
- Los usuarios deben estar debidamente informados de sus obligaciones y responsabilidades, así como haber sido instruidos para la labor que desempeñan. En particular deben estar formados en relación con la gestión de mecanismos de identificación y al procedimiento de gestión de incidentes.
- Los usuarios del Sistema son responsables entre otras cosas de: conocer los procedimientos que les competen e informar de cualquier incidente de seguridad o acontecimiento inusual que sea observado durante la operación de su Sistema.
Procedimientos de designación y renovación
Es función de la Dirección de la entidad según la guía 801 y el epígrafe 10 designar:
- El Responsable de la Información y Responsable del Servicio será nombrado por la Dirección a propuesta del Comité de Gestión de Seguridad de la Información, siendo en nuestro caso la misma persona que desempeñará todas las funciones. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.
- El Responsable de la Seguridad, debe reportar directamente a la Dirección, al Responsable de la Información y al Comité de Gestión de Seguridad de la Información.
- El Responsable del Sistema, en materia de seguridad, reportará al Responsable de la Seguridad. El Departamento responsable de un servicio que se preste electrónicamente designará al Responsable del Sistema, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.
Estructura del comité y responsabilidad
La Dirección es responsable de que la organización alcance sus objetivos a corto, mediano y largo plazo. Debe respaldar explícita y notoriamente las actividades de la Seguridad de las TIC en la organización. Expresa sus inquietudes al Comité de Gestión de Seguridad de la Información a través del Responsable de la Información. Aprueba la Política de Seguridad de la Información.
El Comité de Gestión de Seguridad de la Información estará formado por: el Director General, CIO, Director Técnico. Este comité se responsabiliza de alinear todas las actividades de la organización en materia de seguridad de la información.
Ilustración 1: Diagrama de Organización de la Seguridad
El Comité de Gestión de Seguridad de la Información tendrá las siguientes funciones:
- Coordina todas las funciones de seguridad de la organización y reportar a la Dirección.
- Vela por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial.
- Vela por el alineamiento de las actividades de seguridad y los objetivos de la organización.
- Asegura la elaboración de la Política de Seguridad de la Información; que será aprobada, firmada por la dirección y distribuida para que sea del conocimiento de todos los implicados.
- Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información, asegura la creación y aprobación de las normas que enmarcan el uso de los servicios TIC y los procedimientos de actuación.
- Coordina y aprueba las propuestas recibidas de proyectos de los diferentes ámbitos de seguridad. Los presupuestos elevados serán transmitidos a la Dirección para su aprobación. Los responsables de seguridad se encargarán de llevar a cabo un control y presentación regular del proceso de los proyectos y anuncio de las posibles desviaciones.
- Escucha las inquietudes de la Dirección y la transmite a los Responsables de Seguridad pertinentes. De estos últimos recaba respuestas y soluciones que una vez coordinadas, son notificadas a la Dirección.
- Recaba de los Responsables de Seguridad informes regulares del estado de seguridad de la organización y de los posibles incidentes. Estos informes, se consolidan y resumen para la Dirección.
- Coordina y da respuesta a las inquietudes transmitidas a través de los Responsables de Seguridad y de las diferentes áreas.
- Define la asignación de roles y los criterios para alcanzar las garantías que estimen pertinentes en lo relativo a segregación de tareas.
- Aprueba los requisitos de formación, calificación de administradores y de los usuarios desde el punto de vista de seguridad de las TIC.
- Promueve la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
- Coordina los Planes de Continuidad, para asegurar una actuación en caso de que deban ser activados.
- Elabora la estrategia de evolución de la organización en lo que respecta a seguridad de la información y los servicios
- Aprueba planes de mejora de la seguridad de la información de la organización.
- Resuelve los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización.
Datos de Carácter Personal
GEMED trata datos de carácter personal que se documenta en La Política de Privacidad y Protección de Datos que se encuentra en el Aviso Legal de la página web, al que tendrán acceso todas las personas interesadas y las responsabilidades correspondientes. Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos en el RGPD y la LOPD-GDD para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado documento de seguridad.
A continuación, listamos algunos de los riesgos que se derivan del tratamiento de datos personales:
- Tratar datos personales con una finalidad distinta para la cual fueron recabados.
- Almacenar los datos por periodos superiores a los necesarios para la finalidad del tratamiento y a la legislación vigente.
- No registrar la creación, modificación o cancelación de las actividades de tratamiento efectuadas bajo su responsabilidad.
- Seleccionar o mantener una relación con un encargado de tratamiento sin disponer de las garantías adecuadas.
- Fallas de seguridad en desarrollos de una nueva aplicación o de nuevas funcionalidades y/o parches de una aplicación ya existente.
- Errores humanos en tareas de mantenimiento.
- Error en la configuración de un sistema, aplicación, estación de trabajo, impresora o componente de red.
- Software malicioso (virus, troyanos, secuestradores de información).
- Robo o extravío de equipos, soportes o dispositivos con datos personales.
- Fugas de información.
- Violaciones de la confidencialidad de los datos personales por parte de los empleados o personal externo de la organización.
- Manipulación o modificación no autorizada de la información.
- Existencia de errores técnicos o fallos que ocasionen una indisponibilidad de los sistemas de información.
- Robo o extravío de equipos, soportes o dispositivos con datos personales.
9.1 Figuras vinculadas a la protección de datos de carácter personal
El Delegado de Protección de Datos tiene las obligaciones de cumplir con lo establecido en el RGPD en el art. 39 y LOPDGDD, arts. 34 a 37:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
- Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 3 del BOE.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, realizar consultas previas sobre cualquier asunto.
- El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
- Garantizar las medidas del Anexo II del ENS, así como el adecuado tratamiento de datos personales, podrán ser ampliadas por causa de la concurrencia indicada o de la prudente autoridad del Responsable de la Seguridad, teniendo en cuenta el estado de la tecnología, la naturaleza de los servicios prestados, la información manejada, y los riesgos a que están expuestos.
El Responsable del Tratamiento (Protección de datos) definido en el RGPD, art.4.7 y LOPDGDD, Título V:
- Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.
Las funciones del Responsable del Tratamiento son:
- Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
- Deberá informar a los titulares de los datos los derechos que les asisten y en los términos en los que pueden ejercerlos.
- Deberá excluir del tratamiento los datos relativos al afectado que se oponga al tratamiento de estos.
- Deberá cesar en la utilización o cesión ilícita de los datos cuando así lo requiera el interesado.
- Obligación de hacer efectivo el derecho de rectificación o supresión del interesado en el plazo máximo de 1 mes.
- Notificar las rectificaciones o cancelaciones efectuadas en los datos personales a quien se haya comunicado dichos datos, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.
El Encargado del Tratamiento (Protección de datos) según el RGPD, art. 4.8 y LOPDGDD, Título V:
- Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
El Encargado del Tratamiento deberá aplicar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Deberá implementar las medidas de seguridad que aparecerán estipuladas en el contrato con el Responsable del Tratamiento, como son:
- Tratar los datos del tratamiento.
- Realizar el control de tratamiento, calidad y seguridad de los datos.
- Controlar la forma y requisitos para proceder a las adiciones y cancelaciones.
- Controlar los soportes de seguridad.
- Control y acceso de contraseñas.
- Mantenimiento del registro de incidencias.
- Crear una lista para las situaciones en la que un afectado no desee que sus datos personales se almacenen en el tratamiento.
- Dar traslado al responsable del tratamiento de aquellas solicitudes de ejercicio de derecho que se reciban por parte de los interesados.
Aplicación de los requisitos mínimos
Teniendo como referencia las guías de seguridad CCN-STIC-805 y CCN-STIC-402 para desarrollar la política de seguridad de la información y el artículo 12 del BOE, Requisitos mínimos de seguridad, donde dispondrá la gestión continuada de la seguridad y se establecerá de acuerdo con los principios básicos indicados que se exigirán en proporción a los riesgos identificados en cada sistema, pudiendo algunos no requerirse en sistemas sin riesgos significativos y se cumplirán de acuerdo con lo establecido en el artículo 28 del BOE Cumplimiento de requisitos mínimos donde se aplicarán las Medidas de Seguridad indicadas en el Anexo II.
10.1 Organización e implantación del proceso de seguridad
La Política de Seguridad de la Información es un documento de alto nivel en una organización. El documento debe estar accesible por todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible. Se cumplimentará con documentos con detalles técnicos; como la normativa, las guías y los procedimientos de seguridad.
- Las normas uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de los usuarios. Son de carácter obligatorio.
- Las guías tienen un carácter formativo, ayudan a los usuarios a aplicar correctamente las medidas de seguridad proporcionando razonamientos donde no existen procedimientos precisos y previenen que se pasen por alto aspectos importantes de seguridad que pueden materializarse de varias formas.
- Los procedimientos [operativos] de seguridad afrontan tareas concretas, indicando lo que hay que hacer, paso a paso. Son útiles en tareas repetitivas.
- Aviso Legal y Políticas de privacidad (Política de privacidad y protección de datos.)
- Política Ambiental, de Calidad, de Seguridad de la Información y de Continuidad de Negocio de GEMED.
Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
La política de seguridad estará disponible en la página web de la empresa, para que sea del conocimiento de todos los trabajadores del departamento de Seguridad y TIC de GEMED. La normativa de seguridad se encontrará en la intranet, además de que se realiza la Comunicación a todos los trabajadores, para que realicen el análisis y lectura del documento.
10.1.1 Gestión documental del sistema
En el Procedimiento de Seguridad se documenta la Gestión documental de los procedimientos de operaciones relacionados con el ENS, y en el Procedimiento de Elaboración y gestión documental se tienen en cuenta el resto de la documentación del SGSI:
Este formato podría ser libre en caso de documentos de terceros que hayan sido agregados adicionalmente a la operativa de seguridad (Manuales de fabricantes, informes de auditoría, Documentos procedentes de otras normas, Leyes o regulaciones, etc.) y también en el caso de instrucciones técnicas de la propia compañía.
Todo el personal de la empresa puede acceder a las políticas redactadas en GEMED y en el caso de los procedimientos solo tendrán acceso el Responsable de Sistema, Responsable de Seguridad, Responsable de la Información y del Servicio según sea requerido para sus funciones. Para el resto de los usuarios solo podrán acceder aquellos que requieran trabajar con un procedimiento en particular.
El Responsable de la Información es el encargado de asignar los permisos de acceso a la documentación. Se asignarán permisos de lectura a los empleados afectados y de edición para el personal responsable.
Los procedimientos o instrucciones técnicas son elaborados por el Responsable de Sistema, revisados por el Responsable de Seguridad y Responsable de la Información, son aprobados por el Comité de Seguridad de la Información.
Los documentos asociados o anexos a un procedimiento son elaborados por las mismas personas que elaboran el documento del que procede. La revisión y aprobación de un procedimiento o instrucción técnica supone la revisión y aprobación de todos sus anexos.
Todo cambio en la documentación se canaliza a través del Responsable de la Información, estudia la solicitud comprobando que la misma supone una mejora real sobre el funcionamiento del sistema y que no entra en conflicto con la legislación y normativa vigente, se revisa por el Responsable de Seguridad y en el Comité de Gestión de Seguridad de la Información se tomará la decisión de implementar tales cambios en el sistema.
La información del ENS es privada y se harán públicos los documentos que requiera la normativa, como es el caso de esta política.
10.2 Análisis y gestión de los riesgos
Todos los sistemas de GEMED se encuentran sujetos al análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis será la base para determinar las medidas de seguridad que se deben adoptar, además de los mínimos establecidos según lo previsto en el artículo 7 y 14 del BOE, se repetirá:
- Regularmente, al menos una vez al año.
- Cuando cambie la información manejada.
- Cuando cambien los servicios prestados.
- Cuando ocurra un incidente grave de seguridad.
- Cuando se reporten vulnerabilidades graves.
Para la armonización de los análisis de riesgos, el Comité de Gestión de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados; además dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
Los criterios de evaluación de riesgos se especificarán en la metodología de evaluación de riesgos que elaborará la organización, basándose en estándares y buenas prácticas reconocidas. Deberán tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los servicios o el cumplimiento de la misión de la organización de forma grave. Se priorizarán especialmente los riesgos que impliquen un cese en la prestación de servicios a los ciudadanos.
El propietario de un riesgo debe ser informado de los riesgos que afectan a su propiedad y del riesgo residual al que está sometida. Cuando un sistema de información entra en operación, los riesgos residuales deben haber sido aceptados formalmente por su correspondiente propietario.
10.3 Gestión de personal
El personal, propio o ajeno, relacionado con los sistemas de información de GEMED, deberá ser formado e informado de sus deberes, obligaciones y responsabilidades en materia de seguridad. Se supervisa la actuación de cada usuario para verificar los procedimientos establecidos, aplicando las normas y procedimientos operativos de seguridad aprobados en el desempeño de sus cometidos.
El significado y alcance del uso seguro del sistema se concretará y plasmará en la Política de Funciones y obligaciones del personal, Normativa de seguridad que están aprobadas por la dirección, además de todas las políticas que vienen referenciadas en la intranet que son de uso interno para el conocimiento de todo el personal.
10.3.1 Obligación del personal
Todos los miembros de GEMED tienen la obligación de conocer y cumplir la Política de Seguridad de la Información y la Normativa de Seguridad atenderán a sesiones de concienciación en materia de seguridad continuamente, como mínimo una vez al año y en particular a los de nueva incorporación. El Comité de Gestión de Seguridad de la Información es responsable de disponer de los medios necesarios para que la información llegue a los afectados.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
10.3.2 Terceras partes
Cuando GEMED preste servicios o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación del respectivo Comité de Gestión de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando se utilicen servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
10.4 Profesionalidad
La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
GEMED como organización que prestan servicios de seguridad cuenta con profesionales cualificados y con niveles idóneos de gestión y madurez en los servicios prestados. La empresa se encarga de la gestión del plan de capacitación que requiere el empleado y se trabaja en la supervisión del cumplimiento de estos objetivos.
GEMED determina los requisitos de formación y experiencia necesaria del personal para el desarrollo de su puesto de trabajo.
10.5 Autorización y gestión del control de acceso
Según el artículo 17 del BOE, se debe establecer la autorización y control de los accesos a los sistemas de información donde se deberá limitar a los usuarios, procesos, dispositivos u otros sistemas de información, exclusivamente a las funciones permitidas.
Preservar la seguridad de los sistemas de información y de conformidad con lo dispuesto en el RGPD y el respeto a los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación podrán, en la medida estrictamente necesaria y proporcionada, analizar las comunicaciones entrantes o salientes, y únicamente para los fines de seguridad de la información, de forma que sea posible impedir el acceso no autorizado a las redes y sistemas de información, detener los ataques de denegación de servicio, evitar la distribución malintencionada de código dañino así como otros daños a las antedichas redes y sistemas de información.
Para exigir responsabilidades, cada usuario que acceda al sistema de información deberá estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado una determinada actividad.
10.6 Protección de las instalaciones
En cuanto a la protección de las instalaciones según el artículo 18 del BOE, los sistemas de información y su infraestructura de comunicaciones asociada deberán permanecer en áreas controladas y disponer de los mecanismos de acceso adecuados y proporcionales en función del análisis de riesgos, por la que se establecen medidas para la protección de las infraestructuras críticas. Teniendo en cuenta la Arquitectura de seguridad, en el apartado de Documentación de las instalaciones y la política Perímetro Seguridad Física.
10.7 Adquisición de productos y contratación de servicios
La adquisición de productos de seguridad y contratación de servicios de seguridad que vayan a ser empleados en los sistemas de información que están dentro del alcance del ENS, deben cumplir con lo referido en el artículo 19 del BOE y según la categoría del sistema, se debe tener en cuenta para aquellos aplicativos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. Se realizará una correcta evaluación de proveedores, donde se deben considerar el cumplimiento de los requisitos de seguridad, las certificaciones de seguridad que se requieran y los criterios a seguir según el Centro Criptológico Nacional.
El procedimiento de Adquisición de nuevos componentes, se desarrolló con el objetivo de definir, establecer y mantener un mecanismo que permita garantizar la seguridad de la información a través de todo el ciclo de vida. Se definen todos los elementos que se deben tener en cuenta antes de la adquisición de un nuevo componente, los requisitos de seguridad que se deben considerar a fin de garantizar la seguridad del sistema de información. Las medidas técnicas definidas se deben evaluar, tener en cuenta que el personal a cargo dispone de formación necesaria o se le proporcionará y que ha recibido el consentimiento del departamento administrativo para su adquisición.
10.8 Mínimo privilegio
Los sistemas de información están diseñados y configurados para otorgar los mínimos privilegios necesarios al personal para el correcto desempeño de sus actividades, se proporcionará la funcionalidad imprescindible para que la organización alcance sus objetivos.
Las funciones de operación y administración son desarrolladas por personas autorizadas, se realizarán desde emplazamientos o equipos autorizados y puntos de acceso facultados. Se eliminarán o desactivarán las funciones que son innecesarias o inadecuadas al fin que se persigue. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.
Se aplicarán guías de configuración de seguridad para las diferentes tecnologías referentes al control de acceso, adaptadas a la categorización del sistema, al efecto de eliminar o desactivar las funciones que sean innecesarias o inadecuadas.
10.9 Integridad y actualización del sistema.
La integridad y actualización del sistema debe cumplir con lo dispuesto en el artículo 21 del BOE, tiene por objetivo conseguir una protección adecuada de los Sistemas, definir e implantar un conjunto de medidas de seguridad, tanto técnicas como organizativas, que permiten la creación de un entorno seguro para la información y los sistemas que los sustentan. Para más información, revisar el Procedimientos de Seguridad.
Los Sistemas se mantendrán actualizados, se realizarán evaluaciones para verificar el funcionamiento apropiado de los mecanismos de protección relacionados con la Seguridad de las TIC durante todo el ciclo de vida del sistema y se analizarán para detectar las posibles vulnerabilidades. En el caso de los sistemas que manejen información clasificada deberán disponer de un conjunto equilibrado de servicios de seguridad que permitan alcanzar los objetivos de seguridad requeridos y protejan los sistemas de forma adecuada.
La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa.
La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo a las deficiencias de configuración, las vulnerabilidades identificadas y las actualizaciones que les afecten, así como la detección temprana de cualquier incidente que tenga lugar sobre los mismos.
10.10 Protección de información almacenada y en tránsito
La organización prestará especial atención a la información almacenada o en tránsito a través de los equipos, dispositivos portátiles, móviles, periféricos o los soportes de información y las comunicaciones sobre redes abiertas que se analizarán para lograr una adecuada protección teniendo en cuenta el artículo 22 del BOE.
Se aplicarán procedimientos que garanticen la recuperación y conservación a largo plazo de los documentos electrónicos producidos por los sistemas de información. Toda información en soporte no electrónico que haya sido consecuencia directa de la información electrónica deberá estar protegida. Para ello, se aplicarán las medidas que correspondan a la naturaleza del soporte, de conformidad con las normas que resulten de aplicación.
En [MP.SI] Protección de los soportes de información se estableció un procedimiento para proteger los soportes de información sobre los sistemas bajo el alcance del ENS. Proporcionando recomendaciones organizativas y técnicas de seguridad, que apoyan el cumplimiento de los requisitos legales vigentes, para la manipulación de soportes atendiendo a criterios de confidencialidad, integridad y disponibilidad tanto del soporte físico como de la información que se contiene en el mismo.
10.11 Prevención ante otros sistemas de información interconectados
Se protegerá el perímetro del sistema de información, si se conecta a redes públicas, reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad, teniendo en cuenta el artículo 23 del BOE. Se analizarán los riesgos derivados de la interconexión del sistema con otros sistemas y se controlará su punto de unión; para la adecuada interconexión entre sistemas se estará a lo dispuesto en la Instrucción Técnica de Seguridad correspondiente.
Se produce una conexión cuando se proveen los medios físicos y lógicos de transmisión susceptibles de ser empleados para el intercambio de información. La interconexión entre Sistemas tiene lugar cuando existe una conexión y se habilitan flujos de información entre los Sistemas con diferentes políticas de seguridad, diferentes niveles de confianza, diferentes autoridades operativas o una combinación de las anteriores.
Se entenderá por red pública de comunicaciones; la red de comunicaciones electrónicas que se utiliza para la prestación de servicios de comunicaciones electrónicas disponibles para el público. En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas y se controlará su punto de unión. El sistema ha de proteger el perímetro, en particular, si se conecta a redes públicas. Para más información consultar el documento de Procedimiento de seguridad, Prevención ante otros sistemas de información interconectados.
En GEMED no existen conexiones externas con otros sistemas de información interconectados, por lo que no son necesarias VPNs site-to-site. Aunque existen conexiones puntuales a nivel de usuario, que pueden realizar los empleados contra la infraestructura de un cliente (a través de una VPN que gestiona el cliente).
10.12 Registro de la actividad y detección de código dañino
Según el artículo 24 del BOE, con el propósito de satisfacer las garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
En el documento Procedimiento de seguridad se realiza la comprobación del cumplimiento técnico; se establece la comprobación periódica de los sistemas de información para que cumplan las políticas y normas de seguridad de la información en la organización, para revisar el cumplimiento técnico es preferible la ayuda de herramientas automáticas que generan informes técnicos que posteriormente interpreta un especialista técnico que debe ser competente y autorizado para realizar dicha actividad.
Los procedimientos establecidos para hacer la comprobación de seguridad de los sistemas son el Procedimiento de Pruebas Funcionales de Seguridad de Sistemas y el Procedimiento de Elaboración de Informes y Registro de Eventos SIEM, de los cuales se generan los Informes de pruebas de seguridad y los Informes de vulnerabilidades.
En el Procedimiento de Control de acceso se establece la relación de los registros para el alta de accesos y creación de usuarios, desactivación de los usuarios, los registros de privilegios de acceso, se establecieron reglas de seguridad que exige el ENS para los registros de actividades en el Procedimiento de Gestión actividad de los usuarios. En la Política de Administración de Software, se hacer referencia a los Registros de Actividad de los Usuarios donde se incluyen una serie de controles para revisar el cumplimiento de la política de seguridad en lo relativo a la gestión de los registros de actividad de los usuarios.
Para protegerse contra las amenazas provocadas por código malicioso la organización establece un Plan de Respuesta Incidentes de Seguridad, procedimiento de Gestión de Incidentes de Seguridad y un Playbook-Código Malicioso, se establecen las siguientes medidas:
- Instalación de un EDR para alertar de cualquier actividad sospechosa en los equipos, gestionados mediante una consola centralizada.
- Instalación y gestión de un firewall para evitar accesos no deseados, dotado de inteligencia antimalware.
Además de las medidas anteriores, todos los empleados de la Organización seguirán las siguientes pautas de actuación:
- Evitar la descarga de archivos de sitios que no sean de confianza o de los que no se conoce el origen.
- No se podrá instalar ningún software que vaya en contra de las normas de uso del equipamiento.
- Comprobación de los adjuntos y descargas de los correos electrónicos y medios extraíbles. Para ello se utilizará la función de protección en tiempo real de correo del antivirus instalado.
- Asegurarse de que el software antivirus se encuentra vigente y correctamente actualizado.
10.13 Incidentes de seguridad
Los sistemas de información de GEMED dispone de procedimientos de gestión de incidentes de seguridad de acuerdo con lo previsto en el artículo 33 del BOE la capacidad de respuesta a incidentes de seguridad, las Instrucciones Técnicas de Seguridad correspondiente a los incidentes más frecuentes, así como un Plan de respuesta a incidentes y la definición de un equipo de respuesta a incidentes de seguridad.
Se dispone de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como los procedimientos de comunicación de contacto con las autoridades, comunicación interna como externa a las partes interesadas y el registro de las actuaciones. Este registro se emplea para la mejora continua de la seguridad del sistema.
Se realizará un seguimiento y análisis de las vulnerabilidades reportadas y se prepararán respuestas efectivas a los incidentes, para garantizar la continuidad de los servicios prestados. Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere de una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.
El departamento debe estar preparado para prevenir, detectar y responder ante los incidentes, además de garantizar la conservación de los datos e informaciones en soporte electrónico, manteniendo disponible los servicios durante todo el ciclo de vida de la información, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.
10.13.1 Prevención
El departamento debe prevenir que la información o los servicios se vean perjudicados por incidentes de seguridad, para minimizar las vulnerabilidades, evitar que las amenazas se materialicen, o afecten la información y los servicios, considerando la disuasión y la reducción de la exposición, de acuerdo con el Artículo 8 del BOE. Se implementarán medidas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.
- Definir, asignar los roles y responsabilidades.
- Establecer áreas seguras para los sistemas de información crítica o confidencial.
- Autorizar los sistemas antes de entrar en operación.
- Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
- Identificar si un atacante remoto podría penetrar las defensas.
- Determinar el impacto de una violación de seguridad.
10.13.2 Monitorización y detección
Dado que los servicios se pueden degradar rápidamente se debe monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 10 del BOE, donde las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del BOE, están constituidas por medidas de naturaleza organizativa, física y lógica; donde el sistema debe disponer de una estrategia de protección constituida por múltiples capas de seguridad, para cuando una de las capas falle permita:
- Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse y deben interrumpir a tiempo los incidentes de seguridad
- Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
- Minimizar el impacto final sobre el sistema.
Se establece vigilancia continua, teniendo en cuenta los mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
- Sistemas de detección de intrusos a nivel de red.
- Sistemas de detección de intrusos a nivel sistema.
10.13.3 Respuesta
El departamento de Seguridad y TIC asumirá medidas de respuesta que se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad:
- Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
- Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
- Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones con los equipos de respuesta a incidentes de seguridad.
10.13.4 Conservación y recuperación
Los departamentos deben desarrollar procedimientos que aseguren la preservación de la información digital, la disponibilidad de los servicios críticos, los planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.
10.14 Continuidad de la actividad
En GEMED se aplican las medidas mínimas de seguridad exigidas por el ENS, así como realizar un seguimiento continuo de los niveles de prestación de servicios. Se cuenta con un procedimiento de Continuidad del Negocio para garantizar que se lleven a cabo todas las actividades planificadas como el Análisis de Impacto del Negocio (BIA), el Plan de Continuidad de las TIC. Los sistemas disponen de copias de seguridad y se establecen los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.
10.15 Mejora continua del proceso de seguridad
El proceso integral de seguridad implantado en GEMED será actualizado y mejorado de forma continua, se aplicarán los criterios y métodos reconocidos en la práctica relativos a la gestión de la seguridad de las tecnologías de la información.