1. INTRODUCCIÓN

Este documento refleja la Política de Seguridad de la Información de DATALIA, en adelante, DATALIA, estableciendo las directrices de gestión de la seguridad de la información que quiere implantar la organización.

 

La Dirección de DATALIA entiende su deber de garantizar la seguridad de la información como elemento esencial para el correcto desempeño de los servicios a sus clientes y, por tanto, soporta los siguientes objetivos y principios:

 

1. Implementar el valor de la Seguridad de la Información en el conjunto de la Organización.

 

2. Contribuir todas y cada una de las personas de DATALIA a la protección de la Seguridad de la Información, como base para asegurar una gestión de la seguridad de la información eficaz y conforme con los requisitos del Sistema de Gestión de la Seguridad de la Información (SGSI).

 

3. Preservar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información, con el objetivo de garantizar que se cumplan los requisitos legales y/o regulatorios, normativos, y de nuestros clientes, relativos a la seguridad de la información.

 

4. Proteger los activos de la información de DATALIA de todas las amenazas, ya sean internas o externas, deliberadas o accidentales, con el objetivo de garantizar la continuidad del servicio ofrecido a nuestros clientes y la seguridad de la información.

 

5. Establecer un plan de seguridad de la información que integre las actividades de prevención y minimización del riesgo de los incidentes de seguridad en base a los criterios de gestión del riesgo establecidos por DATALIA

 

6. Proporcionar los medios necesarios para poder realizar las actuaciones pertinentes de cara a la gestión de los riesgos identificados.

 

7. Definir como marco de gestión de la seguridad el compromiso de mejora continua utilizando como referencia la norma ISO/IEC 27001 para establecer el sistema de gestión de la seguridad de la información y la norma ISO/IEC 27002 como conjunto de buenas prácticas para la gestión de la seguridad de la información, así como el Esquema Nacional de Seguridad.

 

8. Asumir la responsabilidad en materia de concienciación y formación en materia de seguridad de la información como medio para garantizar el cumplimiento de esta política.

 

9. Establecer objetivos de negocio relacionados con la seguridad de la información utilizando como marco de referencia la norma ISO/IEC 27001.

 

10. Extender nuestro compromiso con la seguridad de la información a las partes interesadas, más concretamente a nuestros clientes.

1. DEFINICIONES

A efectos de interpretación de la presente política, se considera el siguiente glosario de términos, el cual puede completarse con lo establecido en el Anexo IV del Real Decreto 3/2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

 

Término	Definición
Activos de información	Elementos de los sistemas de información, ya sean recursos o información, que tienen un valor significativo y son necesarios en los servicios de DATALIA
Análisis de riesgos	Estudio sistemático y metodológico de la organización para determinar los riesgos que pueden afectar a la seguridad de la información de sus activos
Autenticidad	Propiedad consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.
Colaboradores externos o Terceros	Aquellas personas con acceso a información cuya propiedad o administración recae en DATALIA pero que no son personal en nómina de la misma
Confidencialidad	Característica de la información de ser difundida sólo a personas y entidades autorizadas, con procesos en tiempo y forma autorizados
Disponibilidad	Característica de la información y de los sistemas de información de ser accesible y utilizable de forma oportuna y adecuada
Incidente de seguridad	Suceso ajeno al funcionamiento normal de un servicio, y que causa o puede causar un detrimento de la seguridad del sistema de información en términos de disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad
Información	Se aplica a cualquier almacenamiento, comunicación o recepción de conocimiento, tales como, datos, opiniones, incluyendo cifras, gráficos o narrativos, ya sean orales o soportados en cualquier medio
Integridad	La característica de la información de ser completa y exacta
Medidas de seguridad	Conjunto de controles y mecanismos encaminados a proteger los activos de la organización de los riesgos que pudieran afectar a su seguridad. Puede tratarse de medidas de prevención, disuasión, protección, detección y reacción, o de recuperación
Sistema de gestión de la seguridad de la información (SGSI)	Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos
Sistema de información	Término general que engloba elementos de hardware, software, aspectos organizativos o administrativos a tener en cuenta para la protección de los recursos informáticos de DATALIA
Trazabilidad	Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad

 

 

 

 

2. AMBITO DE APLICACIÓN

 

La Política de Seguridad de la Información del SGSI es aplicable a quienes tengan acceso a los recursos que hayan sido identificados como “activos de información” de DATALIA dentro del alcance establecido en el SGSI. Dichos requisitos de protección afectan a toda la información en soporte electrónico o soporte papel y a los sistemas de información propiedad de la Organización.

 

3. PRINCIPIOS DE PROTECCIÓN

 

La formulación de la Política de Seguridad de la Información del SGSI se sustenta en los siguientes principios claves de protección:

 

• Eficacia: Garantizar que toda la información utilizada es necesaria y útil para el desarrollo y difusión de los datos estadísticos generados.

 

• Eficiencia: Asegurar que el procesamiento de la información se realice mediante una óptima utilización de los recursos humanos y materiales.

 

• Integridad: Asegurar que sea procesada toda la información necesaria y suficiente para la marcha de los servicios y procesos en cada uno de los sistemas informáticos.

 

• Exactitud: Asegurar que toda la información se encuentre libre de errores y/o irregularidades de cualquier tipo.

 

• Disponibilidad: Garantizar que la información y la capacidad de su procesamiento manual y automática, sean resguardadas y recuperadas eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de los servicios.

 

• Legalidad: Asegurar que toda la información y los medios físicos que la contienen, procesen y/o transporten, cumplan con las regulaciones legales vigentes en cada ámbito.

 

• Confidencialidad: Garantizar que toda la información está protegida del uso no autorizado, revelaciones accidentales, violación de la privacidad y otras acciones similares de accesos de terceros no permitidos.

 

• Autorización: Garantizar que todos los accesos a datos y/o transacciones que los utilicen cumplan con los niveles de autorización correspondientes para su utilización y divulgación.

 

• Protección Física: Garantizar que todos los medios de procesamiento y/o conservación de información cuentan con medidas de protección física que eviten el acceso y/o utilización indebida por personal no autorizado.

 

• Responsabilidad: Garantizar que las partes interesadas son conscientes y responsables de tutelar la seguridad de los sistemas de información y de las acciones que se puedan emprender para reforzar la misma.

4. NORMAS GENERALES DE SEGURIDAD

DATALIA considera como normas básicas de seguridad las siguientes:

 

• La información y los sistemas de información que generan, procesan, almacenan e intercambian información con clientes, proveedores y otras sociedades en el desempeño de sus funciones y servicios serán considerados activos de información de DATALIA

 

• Los activos de información de DATALIA serán adecuadamente protegidos conforme a su valor y criticidad. Para determinar qué medidas de protección son necesarias, debe realizarse una estimación y evaluación del riesgo al que dichos activos se encuentran expuestos utilizando para ello la metodología utilizada en la construcción del SGSI y los criterios establecidos por la propia Entidad como actividad previa al análisis y gestión del riesgo.

 

• Debe también asegurar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información y de los sistemas de información relacionados con los servicios que ofrece utilizando para ello el marco de gestión establecido en:

• ISO 27001-Sistemas de Gestión de Seguridad de la Información (SGSI). Requisitos”
• ISO 27002-“Código de prácticas para los controles de seguridad de la información”
• Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad (ENS).

 

• El acceso de todo usuario a información de DATALIA deberá ser autorizado y la asignación de sus privilegios de seguridad estará determinada por la necesidad de utilización de dicho activo en el desempeño de sus funciones.

 

• El personal de DATALIA y cualquier otro personal que trabaje bajo contrato para la misma deberá acceder exclusivamente a aquella información que sea estrictamente necesaria para el desempeño de sus funciones y la utilizará exclusivamente para la realización de las distintas funciones operativas que desempeña para DATALIA Cualquier acceso o utilización para finalidades distintas a las establecidas se considerará una infracción de la política de seguridad.

 

• DATALIA garantizará que la información y la capacidad de su procesamiento manual y automático, sean resguardados y recuperados eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de los servicios de la Entidad tal como se defina en su estrategia de continuidad de negocio.

 

• DATALIA cumplirá los requisitos de seguridad establecidos por las leyes y reglamentos españoles y europeos en vigor.

 

• Todos los empleados de DATALIA participarán de forma activa en esta cultura de prevención y protección de activos. Deben para ello actuar de acuerdo a la presente política y aquellas normas y procedimientos de seguridad elaborados y comunicados por la Organización.

 

• DATALIA concienciará y formará a su personal sobre la importancia que tiene para el desarrollo de sus actividades y servicios el garantizar la seguridad de la información que maneja y procesa.

 

• Para asegurar la continuidad y sistemática adecuación de la seguridad a sus requisitos se ha implantado un SGSI conforme con la norma ISO 27001.

 

• Las violaciones o infracciones de la presente política de seguridad se sancionarán según el Régimen Disciplinario establecido.

 

• La Política de Seguridad de la Información será difundida y estará disponible para todo el personal y partes interesadas que se determine, según sea apropiado en cada caso.

 

• La seguridad de la información en DATALIA se establecerá en función de los siguientes requisitos mínimos, según se establece en el art. 11 del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad. Se identifica en cada caso la normativa de referencia asociada.

Además de las presentes normas establecidas, podrán desarrollarse todas aquellas que se estimen necesarias así como sus correspondientes procedimientos de seguridad en virtud de las necesidades identificadas por DATALIA que surjan de los resultados del análisis de riesgos realizado o de la publicación de normativa legal vigente que requiera nuevos requisitos de seguridad de la información.

 

5. MISION DE LA ORGANIZACIÓN

La misión de DATALIA es "Proporcionar servicios profesionales de consultoría, auditoría y formación relacionados con en el ámbito de LOPD, LSSI, Gestión de la seguridad de la información, así como cumplimiento normativo en general (blanqueo de capitales, responsabilidad penal de las empresas, etc.)".

 

6. MARCO LEGAL Y REGULATORIO

Por su naturaleza, DATALIA está sometida a toda la normativa de los siguientes ámbitos de aplicación:

• Normativa de la Unión Europea.
• Normativa española.
• Normativa autonómica.

 

Será de aplicación aquella normativa específica que afecte a los diferentes procesos desarrollados por DATALIA e incluidos en el alcance del SGSI.

 

DATALIA dispondrá de un listado de la legislación aplicable que actualizará periódicamente. Entre otras, recogerá la siguiente legislación, que resulta de aplicación:

• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
• Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Real Decreto 3/2010, de 8 de enero, por la que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
• Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

 

7. FUNCIONES Y RESPONSABILIDADES GENERALES

La asignación y delimitación de responsabilidades para asegurar que se implanta y satisfacen los objetivos propuestos en la presente política de seguridad requieren del establecimiento de unas determinadas funciones encargadas de los aspectos generales de gestión de la seguridad de la información.

 

Para ello, DATALIA ha documentado las funciones y responsabilidades en materia de seguridad de la información en el documento “Funciones y Responsabilidades en materia de seguridad de la información” (NS06-01).

 

8. OBLIGACIONES DEL PERSONAL

Todo el personal que tenga acceso a los recursos activos de información de DATALIA tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad derivada.

 

El personal de DATALIA deberá acceder exclusivamente a aquella información que sea estrictamente necesaria para el desempeño de sus funciones y cuyo acceso haya sido autorizado. La utilizará exclusivamente para la realización de las distintas funciones operativas que desempeña para la organización. Cualquier acceso o utilización para finalidades distintas a las establecidas se considerará una infracción de la Política de Seguridad de la Información.

 

En conformidad con la legislación de protección de datos de carácter personal todo el personal que intervenga en cualquier fase del tratamiento de los datos de carácter personal está obligado a todos los requerimientos establecidos a tal efecto por la organización, incluyendo el secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Por consiguiente, se comprometerá a guardar secreto sobre los datos personales a los que pudiera tener acceso por razones de su responsabilidad laboral, contractual o de cualquier otro tipo y a no vulnerar la normativa establecida al respecto.

 

Todos los empleados de DATALIA serán responsables de notificar cualquier tipo de incidencia o no conformidad que pudiera comprometer la seguridad de la Entidad. Asimismo, deberán participar de forma activa en una cultura de prevención y protección de activos. Deben para ello actuar de acuerdo a la presente Política y aquellas normas y procedimientos de seguridad elaborados y comunicados por la organización.

 

Las violaciones o infracciones de la presente Política de Seguridad de la Información se sancionarán según el Régimen Disciplinario establecido por la propia organización, así como los derivados del “Estatuto de los Trabajadores”.

 

9. RELACIONES CON TERCEROS

Todo el personal externo que tenga acceso los recursos activos de información de DATALIA tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad derivada.

 

Los empleados de las compañías y terceros que presten servicios de cualquier índole a DATALIA que tengan acceso a los recursos informáticos y telemáticos, así como a información de la organización, estarán obligados a cumplir con los requisitos de seguridad que se establezcan en la presente Política de Seguridad de la Información y en los documentos derivados de ella.

 

Serán responsables de notificar cualquier tipo de incidencia o no conformidad que pudiera comprometer la seguridad de DATALIA Asimismo deberán acceder exclusivamente a aquella información que sea estrictamente necesaria para el desempeño de sus funciones y cuyo acceso haya sido autorizado. La utilizarán exclusivamente para la realización de las distintas funciones operativas que desempeñan para la organización. Cualquier acceso o utilización para finalidades distintas a las establecidas se considerará una infracción de la Política de Seguridad de la Información.

 

La presente Política de Seguridad será enviada por correo electrónico a los proveedores que a tal efecto determine el Responsable de SG. Cuando se produzcan modificaciones relevantes, esta Política de Seguridad volverá a ser enviada.

 

10. DECLARACIÓN DE AUTORIDAD SOBRE LA POLÍTICA

El Comité de Seguridad tiene la autoridad para verificar el cumplimiento de la presente Política de Seguridad, la responsabilidad de hacer cumplir las directrices generales y actuaciones correspondientes contenidas en el mismo y la independencia para plantear acciones correctivas y preventivas necesarias para cumplir los objetivos del plan de tratamiento de riesgos y la mejora continua de la seguridad de la información. La gestión del comité de seguridad queda definido en el documento PS06-01 Gestión del Comité y otros aspectos organizativos.

 

Los conflictos relacionados con las atribuciones de cada responsable o, en general, con cualquier aspecto relacionado con la seguridad de la información, se resolverán en el Comité de Seguridad.

 

El nombramiento de los responsables incluidos en el citado documento será formalizado a través del Comité de Seguridad de la Información.

 

Es responsabilidad de todas las personas y departamentos implicados en los procesos o servicios incluidos en el alcance el obligado cumplimiento de la presente Política de Seguridad. Para conseguir este propósito es necesaria la implicación y participación de todos los empleados de DATALIA

 

También podrá requerir la participación de proveedores y terceros en la aplicación de las medidas de seguridad que se determinen como mínimos exigibles.

 

El Comité de Seguridad es responsable de la presente Política de Seguridad y deberá realizar la revisión de este documento al menos una vez al año, para valorar la vigencia del presente texto, la necesidad de su actualización en base a nuevos riesgos aparecidos, nuevas necesidades de garantizar la seguridad de la información o la mejora continua del SGSI.

 

Esta Política de Seguridad asegura el firme compromiso de la Dirección de DATALIA de cara a comprender las necesidades y expectativas de las partes interesadas que determinen los requisitos a satisfacer por parte del SGSI, así como su compromiso con la mejora continua, por medio de una revisión periódica del SGSI para asegurar su idoneidad, adecuación y eficacia.