Política Esquema Nacional de Seguridad

  • Home
  • Política Esquema Nacional de Seguridad

Versión vigente:

Objetivo:

 

ITERA, como empresa dedicada Servicios de consultoría y formación de IT, comercialización de software y servicios de nube, asume su compromiso con laseguridad de la información, comprometiéndose a la adecuada gestión de la misma, con el fin de ofrecer a todos sus grupos de interés las mayores garantías en torno a
la seguridad de la información utilizada. Por todo lo anteriormente expuesto, la Dirección establece los siguientes objetivos de seguridad de la información:

●   Proporcionar un marco para aumentar la capacidad de resistencia o resiliencia para dar una respuesta eficaz.

●  Asegurar la recuperación rápida y eficiente de los servicios, frente a cualquier desastre físico o contingencia que pudiera ocurrir y que pusiera en riesgo la continuidad de las operaciones

●  Prevenir incidentes de seguridad de la información en la medida que sea técnica y económicamente viable, así como mitigar los riesgos de seguridad de la información generados por nuestras actividades.

●  Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la Información.

Está política se complementa con el resto de políticas, procedimientos y documentos en vigor para desarrollar nuestro Sistema de Gestión Integral (SGI).

Alcance

Aplica a los iterantes de la BU de España.

 

Referencias

 

Real Decreto 311/2022, de 3 de mayo,
por el que se regula el Esquema
Nacional de Seguridad
  • Desarrollo del Esquema Nacional de
    Seguridad
Requerimientos regulatorios
  • Conjunto de leyes y normas aplicables
    en todas las BUs y, en concreto al
    Esquema Nacional de Seguridad
Política del Sistema de Gestión Integral
para Iterantes (SGI)
  • Establece los principios, compromisos
    y responsabilidades del Sistema de
    Gestión Integral (SGI) de Itera,
    alineados con los objetivos estratégicos
    de la organización.

Roles y responsabilidades

Alta Dirección
  • Proporcionar los recursos necesarios para el Sistema
  • Lidera el Sistema
Responsable de la
Información
  • Determina los requisitos de protección de la información (confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad).
  • Participa en la valoración de impacto para la categorización ENS y en la aceptación de riesgos relativos a la información
Responsable de Servicios
  • Determina y aprueba los requisitos delservicio (incluida disponibilidad/continuidad y requisitos de seguridad aplicables).
  • Participa en la valoración de impacto del servicio a efectos de categorización ENS.
  • Prioriza, junto al resto de responsables, las actuaciones necesarias para cumplir el ENS y validar/aceptar riesgos residuales del servicio cuando proceda.
Responsable de
Protección de Datos
Personales
  • Asesora e informa al responsable/encargado y a los equipos sobre obligaciones RGPD/LOPDGDD y cómo se traducen en requisitos para sistemas y servicios.
  • Supervisa el cumplimiento: políticas internas, asignación de
    responsabilidades, concienciación/formación y auditorías relacionadas con protección de datos.
  • Asegura que el riesgo y medidas estén alineados: que el enfoque de seguridad (ENS) cubra las exigencias de seguridad del tratamiento (art. 32 RGPD) y que el análisis de riesgos/controles tenga en cuenta lanaturaleza del tratamiento (datos, categorías, escala,
    etc.).
  • Impulsa privacidad desde el diseño y por defecto en cambios relevantes del
    sistema (nuevas funcionalidades, integraciones, terceros, cloud, transferencias), para que los cambios pasen por evaluación de impacto/controles antes de implantarse.
  • Asesora en brechas o incidentes con datos personales: valoración, criterios de notificación, coordinación con Seguridad/Sistema y trazabilidad de decisiones en Comité para la gestión y coordinación de la seguridad (Comité ENS).
Responsable de Seguridad
  • Propone, coordina y supervisa el marco de seguridad aplicable al sistema/servicio conforme al ENS.
  • Impulsa la elaboración y mantenimiento de la documentación de seguridad (políticas, normativa, procedimientos, gestión de riesgos, etc.).
  • Coordina la gestión de incidentes de seguridad y el seguimiento de acciones correctoras.
  • Determina, con base en las valoraciones efectuadas por responsables de servicio/información, la categoría del sistema cuando corresponda.
Responsable de Sistemas
  • Desarrolla e implanta técnicamente las medidas y controles necesarios para cumplir el ENS en el sistema, y supervisar su operación.
  • Garantiza la operación segura del sistema (configuración, cambios, vulnerabilidades, copias, continuidad, monitorización, etc.).
  • Proporciona evidencias y soporte aauditorías/auto-evaluaciones ENS y ejecutar las acciones correctoras aprobadas.

Políticas

La Alta Dirección se encarga de:

  • Disponer los medios necesarios y dotar a sus empleados de los recursos
    suficientes para su cumplimiento, poniéndolos en público conocimiento a través de
    la presente Política del ENS dentro del SGI.
    El Comité ENS se encarga de:
  • Tomar con autonomía las decisiones más importantes relacionadas con la
    seguridad, siendo el órgano ejecutivo con mayor responsabilidad dentro del sistema
    de gestión de seguridad de la información, sin tener que subordinar su actividad a
    ningún otro elemento de nuestra empresa.
  • Designar los miembros del Comité ENS, que es el único órgano que puede
    nombrarlos, renovarlos y cesarlos, siendo los siguientes miembros:
    ○ Responsable de la información.
    ○ Responsable de los servicios
    ○ Responsable de la seguridad.
    ○ Responsable de Sistemas.
  • Cumplir los requisitos legales aplicables y cualesquiera otros requisitos de
    compliance que asumamos voluntariamente y los compromisos adquiridos con los
    clientes, así como la actualización continua de los mismos.
  • Preservar los intereses de sus principales partes interesadas (clientes,
    accionistas, empleados y proveedores), la reputación, la marca y las actividades de
    creación de valor.El Responsable de Seguridad se encarga de:
  • Identificar las amenazas potenciales, así como el impacto en las operaciones de
    negocio que dichas amenazas, en caso de materializarse, puedan causar.
  • Mejorar continuamente nuestro sistema de seguridad de la información.
  • Registrar y gestionar los incidentes o brechas considerados como cualquier
    evento, falla, desviación, situación no planificada que interrumpe, degrada o pueda
    interrumpir la confidencialidad, integridad o disponibilidad, cumplimiento normativo,
    lineamientos éticos y de seguridad.
  • Gestionar el sistema de información, que estará disponible en un repositorio, al
    cual se puede acceder según los perfiles de acceso concedidos según nuestro
    procedimiento en vigor de gestión de los accesos.
  • Evaluar y garantizar la competencia técnica del personal, así como asegurar la
    motivación adecuada de éste para su participación en la mejora continua de
    nuestros procesos, proporcionando la formación y la comunicación interna
    adecuada para que desarrollen buenas prácticas definidas en el sistema.

    El Responsable de la Información se encarga de:

  • Garantizar un análisis de manera continua de todos los procesos relevantes,
    estableciéndose las mejoras pertinentes en cada caso, en función de los resultados
    obtenidos y de los objetivos establecidos.

  • Garantizar el correcto estado de las instalaciones y el equipamiento adecuado, de
    forma tal que estén en correspondencia con la actividad, objetivos y metas de la
    empresa.
    El Responsable de Servicios se encarga de:

  • Trabajar de forma conjunta con nuestros suministradores y subcontratistas con el
    fin de mejorar la prestación de servicios de TI, la continuidad de los servicios y la
    seguridad de la información, que repercutan en una mayor eficiencia de nuestra
    actividad.
    El Responsable de Sistemas se encarga de:

  • Garantizar la correcta operación, mantenimiento y disponibilidad del sistema de
    información.

  • Implantar y gestionar los controles técnicos, incluidos los perfiles y permisos de
    acceso, conforme a las políticas de seguridad vigentes.
    El Responsable de Protección de Datos Personales se encarga de:

  • Gestionar los incidentes o brechas de datos personales, considerado como
    cualquier evento, falla, desviación, situación no planificada que interrumpe, degrada
    o pueda interrumpir la confidencialidad, integridad o disponibilidad, cumplimiento
    normativo, lineamientos éticos y de seguridad.

  • Garantizar el cumplimiento de la normativa de protección de datos personales,
    asesorando sobre su correcta aplicación en los sistemas y procesos.

  • Supervisar la gestión de riesgos, medidas de protección y tratamiento de datos
    personales, incluyendo la formación y concienciación del personal.