SENIAVolver al inicio

Política de Seguridad de la Información

Última actualización: Agosto 2024

1. Introducción

Este documento expone la Política de Seguridad de la Información de DESIC S.L. como el conjunto de principios básicos y líneas de actuación a los que la organización se compromete, en el marco del Esquema Nacional de Seguridad (ENS) y la ISO 27001.

La información es un activo crítico, esencial y de un gran valor para el desarrollo de la actividad de DESIC, S.L. Este activo debe ser adecuadamente protegido, mediante las necesarias medidas de seguridad, frente a las amenazas que puedan afectarle, independientemente de los formatos, soportes, medios de transmisión, sistemas, o personas que intervengan en su conocimiento, procesado o tratamiento.

La dirección de DESIC, S.L., consciente del valor de la información, está profundamente comprometida con la política descrita en este documento. La entrada en vigor de la presente Política de Seguridad de la Información de DESIC, S.L. sustituye cualquier otra que existiera a nivel de los diferentes departamentos o áreas de la organización.

2. Objetivos y misión de la organización

DESIC, S.L. presta servicios de hosting, desarrollo y mantenimiento de software y SaaS (software as a service) a empresas, entidades y administraciones públicas. Para prestar sus servicios hace uso de sistemas de información que deben ser protegidos de una forma efectiva y eficiente.

El ENS es una norma jurídica definida en el Real Decreto 311/2022, y es de aplicación obligatoria para todas las Administraciones Públicas y empresas privadas que presten servicios o provean de soluciones a entidades públicas, con el objetivo de generar confianza en dichos sistemas.

Para dar cumplimiento a dicha obligatoriedad DESIC, S.L. ha aprobado la presente política de seguridad de la información para la protección de su sistema de información en base al ENS y a la ISO 27001 conforme al alcance definido para el sistema de gestión de seguridad de la información para cada una de las normas a las que se ha hecho referencia.

3. Objetivos y misión de la Política de Seguridad de la Información

DESIC, S.L. ha establecido un marco de gestión de la seguridad de la información según lo establecido por el Real Decreto 311/2022 y la norma ISO 27001, reconociendo como activos estratégicos la información y los sistemas que la soportan.

Se establecen como objetivos generales en materia de seguridad de la información los siguientes:

  • Implementar el valor de la Seguridad de la Información en el conjunto de la Organización, contribuyendo con la gestión de la seguridad a cumplir la misión y objetivos establecidos por DESIC, S.L.
  • Disponer de las medidas de control necesarias para el cumplimiento de los requisitos legales, normativos y de nuestros clientes y partes interesadas relativos a la seguridad de la información.
  • Asegurar el acceso, integridad, confidencialidad, disponibilidad, autenticidad, trazabilidad de la información y la prestación continua de los servicios.
  • Proteger los activos de la información de DESIC, S.L. y los sistemas de información que los soportan de todas las amenazas, ya sean internas o externas, deliberadas o accidentales.
  • Definir como marco de gestión de la seguridad y el compromiso de mejora continua utilizando como referencia el ENS y la norma ISO/IEC 27001.
  • Garantizar que todas y cada una de las personas que componen la organización de DESIC, S.L. contribuyen a la protección de la Seguridad de la Información, aportando los medios necesarios para poder realizar las actuaciones pertinentes de cara a la gestión de los riesgos identificados.
  • Extender nuestro compromiso con la seguridad de la información a nuestros clientes, colaboradores y proveedores, así como a terceras partes interesadas.

Fundamentos de esta Política

Seguridad como proceso integral.
La seguridad debe entenderse como un proceso integrado por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. Se promoverá la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuente de riesgo para la seguridad.

Gestión de la seguridad basada en los riesgos.
El análisis de los riesgos es parte esencial y continua del proceso de seguridad. La gestión de esos riesgos permitirá el mantenimiento de un entorno controlado, con dichos riesgos a niveles aceptables, y se realizará mediante la aplicación de medidas de seguridad de manera proporcionada a la naturaleza de la información tratada y de los servicios a prestar.

Prevención, detección, respuesta y conservación.
La seguridad del sistema contempla medidas que implementen los aspectos de prevención, detección y respuesta ante incidentes de seguridad, y de conservación de la información y servicios en caso de que el incidente se produzca.

Existencia de líneas de defensa.
DESIC, S.L. implementa una estrategia de protección basada en múltiples capas, constituidas por medidas organizativas, físicas y lógicas, de tal forma que cuando una de las capas falle, el sistema implementado permita:

  • Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse.
  • Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
  • Minimizar el impacto final sobre el mismo.

Vigilancia continua y reevaluación periódica.
La vigilancia continua permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta. DESIC, S.L. implementa controles y evaluaciones regulares de la seguridad, incluyendo evaluaciones de los cambios de configuración de forma rutinaria. Las medidas de seguridad se evaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección.

Diferenciación de responsabilidades.
DESIC, S.L. ha organizado su seguridad comprometiendo a todos los miembros de la corporación mediante la designación de diferentes roles de seguridad con responsabilidades claramente diferenciadas. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable del sistema y el responsable de seguridad.

4. Alcance

La presente Política de Seguridad de la Información del SGSI es aplicable y de obligado cumplimiento a quienes tengan acceso a los recursos que hayan sido identificados como activos de información de DESIC, S.L., a sus recursos y a los procesos afectados por el ENS, RGPD y LOPDGDD, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.

Los requisitos de protección afectan a toda la información en soporte electrónico o soporte papel y a los sistemas de información propiedad de la organización o gestionados para la misma.

Alcance SGSI para el ENS y la ISO 27001: Los sistemas de información que dan soporte a los servicios de administración de sistemas y desarrollo y mantenimiento de aplicaciones, que se prestan desde las Áreas de Sector Público, Sanidad, Consultoría y Movilidad, tanto en las instalaciones de la empresa como en sus clientes.

Marco legal y normativo aplicable:

  • Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico.
  • Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad.
  • Reglamento (UE) 2016/679 (RGPD) relativo a la protección de datos personales.
  • Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los Derechos Digitales.
  • Ley 9/2014, de Telecomunicaciones; Ley 6/2020, de servicios electrónicos de confianza.
  • UNE-ISO/IEC 27001:2023 y UNE-ISO/IEC 27002:2023 — Seguridad de la información, ciberseguridad y protección de la privacidad.
  • Guías del Centro Criptológico Nacional (CCN) relativas al ENS.

5. Autoridad sobre la Política y revisión

El Comité de Seguridad tiene la autoridad para verificar el cumplimiento de la presente Política de Seguridad, la responsabilidad de hacer cumplir las directrices generales y actuaciones correspondientes contenidas en el mismo y la independencia para plantear acciones correctivas y preventivas necesarias para cumplir los objetivos del plan de tratamiento de riesgos y la mejora continua de la seguridad de la información.

El Comité de Seguridad de la Información es responsable de la presente Política de Seguridad y deberá realizar la revisión de este documento con al menos una periodicidad anual para valorar la vigencia del presente texto o la necesidad de su actualización en base a nuevos riesgos aparecidos o nuevas necesidades de garantizar la seguridad de la información.

6. Organización de la seguridad

La organización de la seguridad queda establecida mediante la identificación y definición de las diferentes actividades y responsabilidades en materia de gestión de la seguridad de los sistemas y la implantación de una estructura que las soporte. Con carácter general, todos y cada uno de los usuarios de los sistemas de información de DESIC, S.L. son responsables de la seguridad de los activos de información mediante un uso correcto de los mismos, acordes con las funciones desempeñadas.

6.1. Roles y responsabilidades

6.1.1. Usuarios
Toda persona o sistema que acceda a la información tratada, gestionada o propiedad de DESIC, S.L. se considerará un usuario. Los usuarios son responsables de su conducta cuando acceden a la información o utilicen los sistemas informáticos de DESIC, S.L. Los usuarios tienen la obligación de proteger y custodiar la información de DESIC, S.L., evitando la revelación, emisión al exterior, modificación, borrado o destrucción accidental o no autorizadas, así como conocer y aplicar la Política de Seguridad de la Información.

6.1.2. Responsable de la Información
Le corresponde la potestad de establecer los requisitos de la información en materia de seguridad y determinar los niveles de seguridad de la información. Dicha potestad se ejercerá por la Junta Directiva de DESIC, S.L. El Responsable de la Información es el responsable último de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad y de disponibilidad.

6.1.3. Responsable de los servicios / departamentos
Son los roles que deben establecer los requisitos de seguridad aplicables a los servicios bajo su responsabilidad. Este rol estará ostentado por cada uno de los directores de los departamentos de DESIC, con responsabilidades de determinar niveles de seguridad de servicios, establecer requisitos de interoperabilidad, accesibilidad y disponibilidad, velar por la inclusión de cláusulas de seguridad en los contratos con terceras partes, y colaborar en el análisis de impacto de los incidentes que se puedan producir.

6.1.4. Responsable del tratamiento
De acuerdo con lo especificado en el RGPD y la LOPDGDD, la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. Este rol recae sobre DESIC, S.L., representada por la figura del Director General.

6.1.5. Delegado de Protección de Datos
Tiene asignadas las funciones contempladas en el art. 39 del Reglamento General de Protección de Datos: informar y asesorar al responsable del tratamiento sobre las obligaciones relativas al RGPD, supervisar el cumplimiento de lo dispuesto en el Reglamento, ofrecer asesoramiento sobre la evaluación de impacto del art. 35, y cooperar con la autoridad de control. La designación para el desempeño de este rol se efectuará por la Dirección de DESIC.

6.1.6. Responsable de la Seguridad
El Responsable de la Seguridad de la Información tomará las decisiones necesarias para satisfacer los requisitos de seguridad establecidos por el responsable de la información y de los servicios. Entre sus funciones: promover la seguridad de la información y servicios electrónicos prestados, determinar la categoría del sistema y las medidas de seguridad aplicables, informar a los Responsables de la Información y de los Servicios de las incidencias de seguridad, impulsar la realización de auditorías periódicas, y mantener la documentación del SGSI organizada y actualizada.

6.1.7. Responsable de los sistemas
El responsable de los sistemas de información será el encargado de aplicar las medidas de seguridad de índole tecnológica determinadas por el Responsable de la Seguridad. Este rol lo asumirá el Responsable TIC de DESIC. Sus responsabilidades incluyen: desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, definir la topología y la gestión del sistema, realizar análisis de riesgos junto al Responsable de Seguridad, y aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.

6.1.8. Administrador del sistema
El administrador del sistema depende del responsable del sistema y será designado por la Dirección a propuesta del Responsable del Sistema. Sus funciones incluyen la implementación y mantenimiento de medidas de seguridad, gestión de autorizaciones y privilegios, aplicación de los Procedimientos Operativos de Seguridad, monitorización del estado de seguridad del sistema, e informar al Responsable de la Seguridad o al Responsable del Sistema de cualquier anomalía o vulnerabilidad relacionada con la seguridad.

6.1.9. Responsable de RRHH
Pertenece al Comité de Seguridad de la Información y cumplirá la función de implicar a todo el personal de la organización en el conocimiento y cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ella surjan, así como responsabilizarse de la implementación de los compromisos de confidencialidad que deban suscribir los empleados y colaboradores y de la capacitación continua de los mismos en materia de seguridad.

6.2. Comités: funciones y responsabilidades

6.2.1. Junta Directiva de DESIC
En materia de seguridad de la información, la Junta Directiva de DESIC tiene las siguientes funciones: aprobar la Política de Seguridad de la Información y cualquier otra política sectorial complementaria que permita el cumplimiento del ENS, la ISO 27001 y el RGPD; aprobar el desarrollo organizativo propuesto por el Comité de Seguridad de la Información; nombramiento y cese de los integrantes del Comité SI; y adoptar las medidas pertinentes en materia de seguridad de la información a propuesta del Comité SI.

6.2.2. Comité de Seguridad de la Información
El Comité SI tiene las siguientes funciones: elaborar y proponer la política de seguridad de la organización; velar por el cumplimiento de la normativa legal, regulatoria y sectorial referente a la seguridad de la información y la protección de datos; recabar informes regulares del estado de seguridad de la información; coordinar las actuaciones de seguridad y dar respuesta a las inquietudes de seguridad transmitidas a través de los responsables de los distintos departamentos; y promover acciones de concienciación, formación y motivación del personal. Este comité está conformado por: Dirección, Responsable de Seguridad de la Información, Responsable del Sistema, y Técnico de Calidad y Seguridad.

7. Ámbitos de gestión cubiertos por la Política

7.1. Análisis y gestión de riesgos
Todos los sistemas sujetos a esta Política deberán ser sometidos a un análisis y gestión de riesgos, evaluando los activos, amenazas y vulnerabilidades a los que están expuestos y proponiendo las contramedidas adecuadas para mitigarlos. Este análisis se repetirá al menos una vez al año y cuando ocurra un incidente grave de seguridad. Para el análisis y gestión de riesgos se usará la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información).

7.2. Planificación
DESIC, S.L. establece su estrategia de protección de los sistemas de información en la constitución de múltiples capas de seguridad, compuestas por medidas de naturaleza organizativa, física y lógica, dispuestas de tal forma que si una de ellas falla, la seguridad del sistema en su conjunto no sea comprometida. Además, los sistemas de información se diseñan de forma que garanticen la seguridad por defecto, considerando expresamente la seguridad en su arquitectura.

7.3. Control de accesos
Las directrices de DESIC, S.L. relacionadas con el control de acceso a los sistemas de información establecen que el acceso debe estar controlado, monitorizado y limitado exclusivamente a los usuarios, procesos, dispositivos y sistemas de información que estén debidamente autorizados. Los identificadores de usuario se asignan de forma unívoca, de modo que cada identificador está asociado a un único usuario o proceso. Las autorizaciones se otorgan de acuerdo a los principios generales de mínimo privilegio, necesidad de conocer y capacidad de autorizar.

7.4. Explotación
Dentro de este ámbito se recogen todas las directrices establecidas por DESIC, S.L. en relación a las medidas de seguridad a considerar durante la explotación de los sistemas de información, incluyendo la configuración segura de los sistemas y su mantenimiento. Todos los sistemas de información de DESIC, S.L. son configurados inicialmente de forma segura, proporcionando exclusivamente las funcionalidades mínimas necesarias. La instalación de cualquier componente físico o lógico de un sistema de información requiere una autorización formal previa.

7.5. Servicios externos
DESIC, S.L. sigue siendo en todo momento responsable de los riesgos en que se incurra por el uso de los servicios externos utilizados. Se hará partícipes a los terceros de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. DESIC, S.L. regula contractualmente la utilización de recursos externos a la organización, estableciendo en dichos contratos las características del servicio, las responsabilidades de cada parte, la calidad mínima exigible y las consecuencias del incumplimiento del contrato.

7.6. Continuidad
Dentro de este ámbito se recogen las directrices relacionadas con la continuidad de los servicios prestados por los sistemas de información de DESIC. Se establece como garantía básica que todos los sistemas de información disponen de copias de seguridad actualizadas periódicamente, y que la organización ha establecido los mecanismos necesarios para garantizar la continuidad de sus servicios informáticos y de comunicaciones en caso de pérdida de las infraestructuras originales.

7.7. Monitorización
Este dominio cubre las directrices de DESIC, S.L. relacionadas con la monitorización tanto de los propios sistemas de información como del uso que los usuarios hacen de ellos. Estas directrices establecen la obligatoriedad de registrar la actividad de los usuarios durante su uso de los sistemas de información, con el nivel de detalle necesario para identificar actividades indebidas o no autorizadas salvaguardando al mismo tiempo los derechos de los usuarios. DESIC tiene habilitados registros de actividad que permiten identificar en cada momento a la persona que actúa, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados.

7.8. Instalaciones e infraestructuras
Las directrices definidas por DESIC, S.L. en relación a la protección de las instalaciones y las infraestructuras físicas se articulan mediante el control de acceso físico y el acondicionamiento y protección frente a contingencias ambientales. Los sistemas de información se instalan en salas específicas y separadas, que deben permanecer cerradas, dotadas de mecanismos de control de acceso, como llaves o claves, cuya distribución debe estar controlada. Los CPDs de DESIC, S.L. están equipados con sistemas de control y acondicionamiento que velan por el buen funcionamiento del equipamiento albergado en ellos.

7.9. Personal, concienciación y formación
DESIC, S.L. se compromete a regular formalmente los deberes y obligaciones del personal en materia de seguridad y a formar al personal sobre ellos. DESIC, S.L. tiene un programa de formación y concienciación que garantiza que periódicamente todo el personal reciba la información necesaria para saber cómo realizar su trabajo de manera segura y cómo debe participar en la gestión de la seguridad de los sistemas de información y los incidentes que puedan producirse.

7.10. Equipamiento y responsabilidades del usuario
El personal debe velar porque el puesto de trabajo esté despejado, de modo que no haya más material sobre su mesa que el requerido para la actividad que se esté realizando en cada momento. Los equipos portátiles, al tener la consideración de entornos inseguros, deberán contar con medidas de seguridad adicionales, incluyendo un firewall personal, y los usuarios deberán limitar la información que contienen estos equipos, evitando, en la medida de lo posible, que contengan claves de acceso remoto a la red de DESIC.

7.11. Comunicaciones
Este dominio cubre las directrices de DESIC, S.L. relacionadas con la gestión de las redes de comunicaciones. DESIC dispone de cortafuegos que separan las redes internas del exterior, de modo que cualquier tráfico entre redes internas y externas debe atravesarlos, estando configurados de forma que sólo se permiten los flujos de datos previamente autorizados, y monitorizando los que sean necesarios en base al riesgo.

7.12. Soportes de información
Todo el personal de DESIC, S.L. debe aplicar la debida diligencia y control a los soportes de información que permanezcan bajo su responsabilidad, garantizando que se cumplen las medidas de control de acceso físico y/o lógico aplicables. Los soportes de información electrónicos deberán estar etiquetados de forma que permitan identificar el nivel máximo de seguridad de la información contenida. Siempre que sea necesario su contenido deberá estar cifrado, y el responsable de sistemas deberá garantizar su control, registrando sus entradas y salidas y su eliminación segura.

7.13. Aplicaciones
DESIC, S.L. dispone de un entorno aislado en el que se llevan a cabo las pruebas, realizadas con datos previamente ofuscados. Estas pruebas contienen una parte funcional y otra parte de seguridad, en la que se verifica el cumplimiento de los criterios de aceptación en materia de seguridad y que su puesta en marcha no provoca deterioros en la seguridad de otros componentes del sistema de información afectado.

7.14. Información y datos de carácter personal
DESIC, S.L. cumple de forma escrupulosa las exigencias legales vigentes en materia de protección de datos de carácter personal, aplicando de manera global a esta información las medidas de protección preceptivas por dicha regulación. La normativa en protección de datos condiciona la adopción de las medidas de responsabilidad activa a adoptar, al riesgo que todo tratamiento de datos personales puede suponer para los derechos y libertades de los interesados. DESIC, S.L. clasifica la información en virtud de su naturaleza, identificando responsables de la información de acuerdo a lo establecido en la presente Política. Como norma general de protección de la información, DESIC, S.L. establece la obligatoriedad de llevar a cabo copias de seguridad que permitan recuperar datos pasados, así como de llevar a cabo procesos de limpieza de documentos, según lo dispuesto en el procedimiento de borrado de metadatos.

7.15. Vigilancia continua
La vigilancia continua permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta. DESIC, S.L. implementa controles y evaluaciones regulares de la seguridad, incluyendo evaluaciones de los cambios de configuración de forma rutinaria, para conocer en todo momento el estado de la seguridad de los sistemas. Antes de la entrada de nuevos elementos, ya sean físicos o lógicos, estos requerirán de una autorización formal. Así mismo, solicitará la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

8. Desarrollo y despliegue de la Política de Seguridad

8.1. Instrumentos de desarrollo
La Política de Seguridad de la Información de DESIC se desarrollará por medio en una serie de documentos normativos en los que se recogerán políticas de seguridad específicas para los distintos ámbitos contemplados. Dichos documentos normativos podrán adoptar alguna de las siguientes modalidades:

  • Documentación del desarrollo del SGSI (SGSI): Incluyen los aspectos generales del SGSI: Política de Seguridad, Análisis de Riesgos, Normativa, Categorización del Sistema y la Declaración de Aplicabilidad.
  • Procedimientos generales (PGS): Incorporan procedimientos generales de actuación del sistema de gestión de seguridad de la información.
  • Procedimientos operativos de seguridad (POS): Afrontan tareas concretas, indicando lo que hay que hacer, paso a paso, sin entrar en detalles de proveedores, marcas comerciales o comandos técnicos.
  • Instrucciones técnicas (ITS): Desarrollan los POS llegando al máximo nivel de detalle, indicando proveedores, marcas comerciales y comandos técnicos empleados para la realización de las tareas.

La normativa general de utilización de recursos y sistemas de información estará disponible en la intranet de DESIC, S.L. a disposición de todos los miembros de la organización que necesiten conocerla.

8.2. Sanciones previstas en caso de incumplimiento
Del incumplimiento de la Política de Seguridad de la Información y normas que la desarrollan podrán derivarse las consiguientes responsabilidades disciplinarias, que se sustanciarán conforme a lo establecido en el Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores y el Convenio Colectivo vigente en DESIC, S.L. en cada momento.

Documento: SGSI-01 — Versión 9 — Clasificación: Público — Aprobado: 06-08-2024
Revisado y aprobado por el Comité de Seguridad de la Información de DESIC SL.