Política de seguridad de la información

Alcance
Esta política se aplica a todos los sistemas TIC de la entidad y a todo el personal de EASY TECH GLOBAL y el personal externo que realiza tareas dentro de la empresa, implicados en servicios y proyectos, sin excepciones. Es decir: Los sistemas de la información que dan soporte a las actividades de desarrollo, mantenimiento e implantación de servicios informáticos en aplicaciones móviles y web.

Misión y objetivos de la organización

EASY TECH GLOBAL, para alcanzar sus objetivos asume su compromiso con la seguridad de la información, comprometiéndose a la adecuada gestión de esta, con el fin de ofrecer a todos sus grupos de interés las mayores garantías en torno a la seguridad de la información utilizada.

Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo fundamental de EASY TECH GLOBAL con respecto a la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Por ello la organización establece objetivos generales:

• Establecer y generar medidas de control acordes para garantizar el cumplimiento de los requisitos exigidos por el Esquema Nacional de Seguridad o legales que sean necesarios como consecuencia de la actividad desarrollada, especialmente en lo relacionado a la protección de datos de carácter personal y a la prestación de servicios a través de medios electrónicos o telemáticos.
• Mejorar continuamente nuestro sistema de seguridad de la información.
• Identificar las amenazas potenciales, así como el impacto en las operaciones de negocio que dichas amenazas, caso de materializarse, puedan causar.
• Preservar los intereses de sus principales partes interesadas (clientes, accionistas, empleados y proveedores), la reputación, la marca y las actividades de creación de valor.

• Trabajar de forma conjunta con nuestros suministradores y subcontratistas con el fin de mejorar la prestación de servicios de TI, la continuidad de los servicios y la seguridad de la información, que repercutan en una mayor eficiencia de nuestra actividad.
• Garantizar el correcto estado de las instalaciones y el equipamiento adecuado, de forma tal que estén en correspondencia con la actividad, objetivos y metas de la empresa.
• Asegurar un análisis de manera continua de todos los procesos relevantes, estableciéndose las mejoras pertinentes en cada caso, en función de los resultados obtenidos y de los objetivos establecidos.
• Evaluar y garantizar la competencia técnica del personal, así como asegurar la motivación adecuada de éste para su participación en la mejora continua de nuestros procesos, proporcionando la formación y la comunicación interna adecuada para que desarrollen buenas prácticas definidas en el sistema.
• Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 8 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) (Artículo 8. Prevención, detección, respuesta y conservación).
• Realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Marco normativo

La organización (EASY TECH GLOBAL) tiene la responsabilidad de dar cumplimiento con los requisitos legales aplicables y con cualesquiera otros requisitos que suscribimos además de los compromisos adquiridos con los clientes, así como la actualización continua de los mismos. Para ello, el marco legal y regulatorio en el que desarrollamos nuestras actividades es:

• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
• Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y por el que se incorporan al ordenamiento jurídico español la Directiva 2014/26/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, y la Directiva (UE) 2017/1564 del Parlamento Europeo y del Consejo, de 13 de septiembre de 2017.
• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
• Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
• Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
• Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
• Norma ISO/IEC 27001, de implementación efectiva de la seguridad de la información empresarial, desarrolladas en las normas ISO 27001 e ISO 27002.

Organización de seguridad de la Información

La seguridad de la información es el conjunto de medidas preventivas y reactivas que permiten resguardar y proteger la información. Es decir, son todas aquellas políticas de uso y medidas que afectan al tratamiento de los datos que se utilizan en una organización. En este caso la responsabilidad esencial recae sobre la Dirección General de la organización, ya que esta es responsable de organizar las funciones y responsabilidades y de facilitar los recursos adecuados para conseguir el resguardo, protección y cumplimiento de los objetivos. Los directivos son también responsables de dar buen ejemplo siguiendo las normas de seguridad establecidas.

Estos principios son asumidos por la Dirección, quien dispone los medios necesarios y dota a sus empleados de los recursos suficientes para su cumplimiento, plasmándose y poniéndolos en público conocimiento a través de la presente Política de Seguridad.

Los roles o funciones de seguridad definidos son:

Como parte de la organización de Seguridad de la información se establen los siguientes objetivos:

• Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
• Proporcionar un marco para aumentar la capacidad de resistencia o resiliencia para dar una respuesta eficaz.
• Resguardar los activos de información de EASY TECH GLOBAL y la tecnología que los soporta frente a cualquier amenaza, intencionada o accidental, interna o externa, con el fin de asegurar la confidencialidad, integridad y disponibilidad de estos.
• Asegurar la recuperación rápida y eficiente de los servicios, frente a cualquier desastre físico o contingencia que pudiera ocurrir y que pusiera en riesgo la continuidad de las operaciones.
• Prevenir incidentes de seguridad de la información en la medida que sea técnica y económicamente viable, así como mitigar los riesgos de seguridad de la información generados por nuestras actividades.
  

Comité de Seguridad

El Comité de Seguridad de la Información es la entidad que agrupa la gestión de la seguridad de la información en la organización, se encarga de la gestión y coordinación de la seguridad y es el órgano con mayor responsabilidad dentro del sistema de gestión de seguridad de la información (SGSI), de forma que todas las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité.

El comité de seguridad de la información está constituido por:

• Responsable de la Información.
• Responsable de los Servicios.
• Responsable de la Seguridad.
• Responsable del Sistema.
• Dirección Empresa.
  

Estos miembros son designados por el comité, único órgano que puede nombrarlos, renovarlos y cesarlos.

El Comité de Seguridad de la Información será responsable de implementar los medios y canales necesarios para que el responsable de seguridad (RSEG) maneje informes de incidentes y anomalías del sistema. El Comité también estará al tanto, supervisará la investigación, supervisará la evolución de la información y promoverá la resolución de incidentes de seguridad de la información.

El comité de seguridad es un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones y que no tiene que subordinar su actividad a ningún otro elemento de nuestra empresa. 

Está política se complementa con el resto de las políticas, normas, procedimientos e instructivos en vigor para desarrollar nuestro sistema de gestión.

Resolución de conflictos

Las diferencias de criterios que pudiesen derivar en un conflicto se tratarán en el seno del Comité de Seguridad y prevalecerá en todo caso el criterio de la Dirección General. 

Clasificación de la información 

EASY TECH GLOBAL clasificará e inventariará los activos de la información según su naturaleza. El nivel de protección y las medidas a aplicar se basarán en el resultado de dicha clasificación.

Gestión de Riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisa regularmente:

• Al menos una vez al año;
• Cuando cambie la información manejada;
• Cuando cambien los servicios prestados;
• Cuando ocurra un incidente grave de seguridad;
• Cuando se reporten vulnerabilidades graves
  

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Para la realización del análisis de riesgos se tendrá en cuenta la metodología de análisis de riesgos desarrollada en el procedimiento Análisis de Riesgos.

 Datos de carácter personal

Todos los sistemas de información de EASY TECH GLOBAL se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal, le será de aplicación lo dispuesto en Reglamento Europeo 679/2016 de protección de datos y en la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos de Carácter Personal y sus normas de desarrollo, sin perjuicio de los requisitos establecidos en el marco regulatorio del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Compromisos del responsable de Seguridad:

• El responsable de la seguridad (RSEG) es responsable de monitorear,
  documentar y analizar los incidentes de seguridad reportados, así como de comunicarse al Comité de Seguridad de la Información y a los propietarios de información.
• El responsable de seguridad (RSEG) participará en la preparación del Compromiso de Confidencialidad que firmarán los empleados y terceros que desempeñen funciones en EASY TECH GLOBAL, en el asesoramiento sobre las sanciones que se aplicarán por incumplimiento de esta Política y en el tratamiento de incidentes de seguridad de la información.
• Asegurar que los usuarios estén al tanto de las amenazas y preocupaciones de seguridad de la información y estén capacitados para apoyar la Política de Seguridad de la Información de la organización en el curso de sus tareas normales.
• Garantizar la seguridad de la información cuando se utilizan ordenadores portátiles y ordenadores personales para el trabajo remoto.
• Reducir los riesgos de error humano, puesta en marcha de irregularidades, uso indebido de instalaciones y recursos, y manejo no autorizado de la información.
• El responsable de la seguridad (RSEG), junto con los titulares de la Información, según proceda, definirá las medidas de seguridad física y ambiental para la protección de los activos críticos, sobre la base de un análisis de riesgos, y supervisará su aplicación. También verificará el cumplimiento de las disposiciones de seguridad física y medioambiental.
• Con el objetivo de fomentar la ‘Cultura de la seguridad’, el Comité de Seguridad de la Información promoverá un programa de concienciación continúa para formar a todo el personal. 
• Implantar estas normativas y supervisar que se cumplan.
• Establecer planes para el aseguramiento de la continuidad de operaciones.
• Impulsar el diseño e implementación de DRP (Disaster recovery plan).
• Impulsar y colaborar con las áreas de negocio para el diseño e implementación de business continuity plan (BCP).

Responsabilidades de RRHH

• RRHH incluir funciones de seguridad de la información en las descripciones de los trabajos de los empleados, informará a todo el personal que contrate sus obligaciones con respecto al cumplimiento de la Política de Seguridad de la Información, gestionará los Compromisos de Confidencialidad con el personal y coordinará las tareas de capacitación de los usuarios con respecto a esta Política.
• Todo el personal de EASY TECH GLOBAL es responsable de informar sobre las debilidades e incidentes de seguridad de la información que se detectan oportunamente.
• Determinar la competencia necesaria del personal para llevar a cabo el trabajo que afecta a la Seguridad de la Información.
• Hay que asegurar que las personas sean competentes sobre la base de la educación, capacitación o experiencia adecuadas.
• Demostrar mediante la información documentada que sea necesaria la competencia del personal en materia de Seguridad de la Información.
• Explicar las responsabilidades de seguridad en la etapa de reclutamiento del personal e incluirlas en los acuerdos a firmar y verificar su cumplimiento durante el desempeño de las tareas del empleado.

Obligaciones del personal

• Aceptación de acuerdos de confidencialidad con todo el personal y usuarios fuera de las instalaciones de procesamiento de información.
• Establecer las herramientas y mecanismos necesarios para promover la comunicación de las debilidades de seguridad existentes, así como los incidentes, con el fin de minimizar sus efectos y prevenir su reincidencia.
• Todos los miembros de EASY TECH GLOBAL tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y las demás normativas de seguridad de la información, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectado
• Todos los miembros de EASY TECH GLOBAL atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de EASY TECH GLOBAL, en particular a los de nueva incorporación.
• Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
• Todo el personal con responsabilidad en el uso, operación, o administración de sistemas de tecnologías de la información y las comunicaciones tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad derivada, independientemente del tipo de relación jurídica que les vincule con la organización.
• El incumplimiento de la Política de Seguridad y su normativa de desarrollo dará lugar al establecimiento de medidas preventivas y correctivas encaminadas a salvaguardar y proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia de responsabilidad disciplinaria.
• Los usuarios son responsables de sus credenciales y de la no divulgación o compartimiento de estas.
• Todos los usuarios tienen la tienen la obligación y responsabilidad de notificar al responsable de Seguridad en caso de tener sospecha o ser víctima de un incidente de seguridad de la información.

Instrumento de desarrollo

Se ha establecido un marco normativo de seguridad de la información cuya estructura está segregada en diferentes niveles de manera tal que los objetivos marcados en este documento tengan un desarrollo especifico:

Las normas son propuestas por el responsable de seguridad y las aprueba el Comité de seguridad de la Información mientras que los procedimientos e instructivos su aprobación dependerá de su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de información determinado.

Relaciones con terceros 

EASY TECH GLOBAL como prestador de servicios o cuando ceda información a terceras partes, se les hará partícipe de esta Política de Seguridad de la Información y de las normas, procedimientos e instrucciones derivadas. 

De igual forma, cuando EASY TECH GLOBAL utilice servicios de terceros o ceda información a terceros se les hará igualmente partícipe de esta Política de Seguridad de la Información y de la normativa, procedimientos e instrucciones de seguridad que concierna a dichos servicios o información. Los terceros quedarán sujetos a las obligaciones y medidas de seguridad establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de detección y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información, al menos al mismo nivel que el establecido en esta Política de Seguridad de la Información. 

En concreto, los terceros deberán garantizar el cumplimiento de la política de seguridad de la información basadas en estándares auditables que permitan verificar el cumplimiento de estas políticas.

Cuando algún aspecto de la Política de la Seguridad de la Información no pueda ser satisfecho por una tercera parte, se requerirá un informe del responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el responsable de la Información y de los Servicios afectados.