Política de Seguridad
Objetivo
Esta “Política de Seguridad de la Información” es efectiva desde su entrada en vigor en Gicaman.
La Política es revisada por el responsable de Seguridad de la Información a intervalos planificados, sin exceder el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.
La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización, comunicándose de forma efectiva.
Los cambios sobre la Política de Seguridad de la Información serán aprobados por la Dirección de Gicaman. Cualquier cambio sobre la misma deberá ser difundido para conocimiento de toda la Organización.
La dirección de la empresa es consciente del valor de la información y está profundamente comprometida con la política descrita en este documento.
Ámbito de Aplicación
Además, es de aplicación y de obligado cumplimiento para todo el personal que, de manera permanente o eventual, preste sus servicios en Gicaman, incluyendo el personal de proveedores externos, cuando sean usuarios de los Sistemas de Información de este.
Por tanto, se entiende por usuario cualquier empleado perteneciente o ajeno a Gicaman, así como personal de organizaciones privadas externas, entidades colaboradoras o cualquier otro con algún tipo de vinculación con Gicaman y que utilice o posea acceso a los Sistemas de Información de Gicaman.
Vigencia
En la presente Política de Seguridad de la Información de Gicaman se han establecido las directrices generales para el uso adecuado de los recursos de tratamiento de información que Gicaman pone a disposición de sus usuarios para el ejercicio de sus funciones y que, correlativamente, asumen las obligaciones descritas, comprometiéndose a cumplir con lo dispuesto en los siguientes epígrafes.
Cualquier modificación posterior entrará en vigor inmediatamente después de su publicación por parte de Gicaman.
Revisión y Evaluación
La gestión de esta Política de Seguridad corresponde al Comité de Seguridad1.
Anualmente (o con menor periodicidad, si existen circunstancias que así lo aconsejen), el Comité de Seguridad revisará la presente Normativa General, que se someterá, de haber modificaciones, a la aprobación del Órgano de Gobierno. La revisión se orientará tanto a la identificación de oportunidades de mejora en la gestión de la seguridad de la información, como a la adaptación a los cambios normativos, infraestructura tecnológica, etc.
Será el responsable de Seguridad la persona encargada de la custodia y divulgación de la versión aprobada de este documento.
Misión
El propósito de esta Política de Seguridad de la Información es proteger la información de los servicios de Gicaman.
La política de Seguridad, junto con la Normativa de Seguridad se realizará mediante una comunicación a todos los trabajadores, para que se efectúe el análisis, comprensión y lectura del documento.
Esta política aplica a Sistema de información propiedad de Gicaman, para la adecuada prestación de los servicios de consultoría, y auditoría, mediante la asignación de personal cualificado al Gicaman, llevando a cabo su gestión y seguimiento en los ámbitos de: Sistema de información que dan soporte para la gestión de vivienda pública y oficial de Castilla-La Mancha.
Funciones de Seguridad
Gicaman ha nombrado un Comité de Seguridad con sus Funciones y Responsabilidades.
El establecimiento de este comité, así como la designación de los diferentes roles se hallan registrados en el Acta de Constitución del comité: GI_Acta de Constitución Comité de Seguridad y en Acta de Nombramientos: GI_Aceptación de los Roles y Funciones del ENS
El Comité de Seguridad de la Información del ENS está formado por:
* Responsable de Seguridad.
* Responsable de Sistemas.
* Responsable de la Información.
* Responsable del Servicio.
* Delegado de Protección de Datos (DPD).
Y este Comité de Seguridad contará con Suplentes para cada uno de los Responsables del Comité de Seguridad, es decir 5 suplentes.
Se deben identificar unos claros responsables para velar por su cumplimiento y ser conocida por todos los miembros de la organización. Se detallarán en la política de seguridad de la organización las atribuciones de cada responsable.
Los nombramientos los establece la Dirección de la organización y se revisan cada 2 años o cuando un puesto queda vacante. Las diferencias de criterios que pudiesen derivar en un conflicto se tratarán en el seno del Comité de Seguridad y prevalecerá en todo caso el criterio de la Dirección ejecutiva.
Los diferentes roles junto con sus respectivas funciones y responsabilidades:
El Responsable de la Información tendrá como funciones:
Aceptar los riesgos residuales respecto de la información, calculados en el análisis de riesgos.
Aunque la aprobación formal de los niveles corresponda al responsable de la Información, se puede recabar una propuesta al responsable de la Seguridad y conviene que se escuche la opinión del Responsable del Sistema.
Determinar los requisitos de la información tratada.
Velar por la seguridad de la información en sus diferentes vertientes: protección física, protección de los servicios y respeto de la privacidad.
Estar al tanto de cambios normativos (leyes, reglamentos o prácticas sectoriales) que afecten a la Organización.
Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
El Responsable del Servicio tendrá las funciones:
Determinar los requisitos de Seguridad de los servicios prestados en Gicaman.
Revisar y aprobar los niveles de seguridad de los servicios.
Incluir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
Valorará las consecuencias de un impacto negativo sobre la seguridad de los servicios, se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los Gicamans.
Asumir la propiedad de los riesgos sobre los servicios.
El Responsable de Sistemas tendrá las funciones:
Desarrollar, operar y mantener el Sistema durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
Definir la topología y política de gestión del Sistema estableciendo los criterios de uso y los servicios disponibles en el mismo.
Definir la política de conexión o desconexión de equipos y usuarios nuevos en el Sistema.
Implantar y controlar las medidas específicas de seguridad del Sistema y cerciorarse de que éstas se integren adecuadamente dentro del marco general de seguridad.
Determinar la configuración autorizada de hardware y software a utilizar en el Sistema.
Aprobar toda modificación sustancial de la configuración de cualquier elemento del Sistema.
Llevar a cabo el proceso de análisis y gestión de riesgos en el Sistema.
Determinar la categoría del sistema y determinar las medidas de seguridad que deben aplicarse Elaborar y aprobar la documentación de seguridad del Sistema.
Investigar los incidentes de seguridad que afecten al Sistema, y en su caso, comunicación al responsable de Seguridad.
Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos.
El Responsable de Seguridad tendrá las funciones:
Responsable de la Seguridad es la persona designada por la Dirección de la Organización.
Determinar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
Trabajar para conseguir una total seguridad de los datos de la empresa, así como la privacidad de los mismos.
Supervisar, controlar y administrar el acceso a la información de la empresa, y de sus trabajadores.
Garantizar el cumplimiento de la normativa relacionada con la seguridad de la información.
En caso de servicios externalizados, la responsabilidad última la tiene siempre la Organización destinataria de los servicios, aun cuando la responsabilidad inmediata pueda corresponder (vía
contrato) a la organización prestataria del servicio.
Mantener la seguridad de la información manejada y de los servicios prestados.
Sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la Política de Seguridad de la Información de la organización.
Promover la formación y concienciación en materia de seguridad de la información.
Garantizar el buen uso del equipamiento informático dentro de su ámbito de responsabilidad.
Supervisar y coordinar al equipo encargado de llevar a cabo las medidas de respuesta en caso de brechas de seguridad.
POC (Persona de contacto de seguridad de la información) Se responsabilizará de la seguridad con los Gicamans, en los que presta servicio Gicaman.
Diseñar del Plan de formación, en el ámbito del ENS,para las personas de Gicaman que prestan servicios en proyectos de AA.PP.
El DPD tendrá las funciones:
Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de
tratamiento, y las auditorías correspondientes.
Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo35.
Cooperar con la autoridad de control.
Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
Desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
El administrador de seguridad reporta al Responsable del Sistema o al Responsable de la Seguridad, según sea su dependencia funcional:
● Incidentes relativos a la seguridad del sistema o acciones de configuración, actualización o corrección.
● El Responsable del Sistema informa al Responsable de la Información de las incidencias funcionales relativas a la información que le compete.
● El Responsable del Sistema informa al Responsable del Servicio de las incidencias funcionales relativas al servicio que le compete.