Por deseo de la Dirección TINÁMICA el Responsable de Seguridad de la Información ha establecido e implantado un Protocolo de seguridad de la Información para el logro de los propósitos de la organización de ofrecer y garantizar las seguridad de la información.
Objetivo: Esta normativa da cumplimiento al artículo 11 del Esquema Nacional de Seguridad, donde se establece la necesidad de disponer formalmente de una normativa de seguridad que articule la gestión continuada de la seguridad.
La normativa de seguridad se establece de acuerdo con los principios básicos establecidos en la política de seguridad de la información y se desarrolla aplicando los requisitos mínimos necesarios. Todos estos requisitos mínimos se establecen en proporción a los riesgos identificados en los sistemas de información, pudiendo algunos no requerirse en sistemas sin riesgos significativos
Alcance: La presente normativa se aplica toda la información y sistemas de información de la empresa Tinámica S.L. con independencia de la forma en la que se procese, quién acceda a ella, el medio que la contenga o el lugar en el que se encuentre, ya se trate de información impresa o almacenada electrónicamente. Además también cubre todos los servicios que dan soporte a los consultores de la compañía.
Por otro lado, todos los empleados de la sociedad deben cumplir la totalidad de condiciones mencionadas en la política.
Partes Interesadas, necesidades y expectativas:
Tinámica S.L ha determinado las partes interesadas que son relevantes para el SGSI y son las siguientes:
• Empleados
• Clientes
• Proveedores
• Consejo de Administración
• Comité del SGSI
• El usuario final que proporciona los datos
• El INCIBE
• Organismos Regulatorios (AEPD Agencia Española de Protección de Datos)
Referencias:
· Norma UNE-ISO/IEC20000-1
· Norma UNE-EN-ISO 27001
· Esquema Nacional de seguridad
· Ley Orgánica 15/1999 de 13 de diciembre deProtección de Datos de Carácter Personal.
· Real Decreto Legislativo 1/1996, de 12 de abril,por el que se aprueba el texto refundido de la Ley de Propiedad intelectual,regularizando, aclarando y armonizando las disposiciones legales vigentes sobrela materia.
Responsabilidades (Función y responsables)
- Asegurar que se cumplen las directrices de seguridad de control de acceso citadas en el presente documento (Comité de Seguridad de la Información)
- Comunicar y hacer cumplir las pautas relativas a las directrices de esta normativa. (Responsable de Seguridad y Responsables de Área).
INTRODUCCIÓN
Este documento es la normativa interna de Tinámica S.L, para el tratamiento de la información y de la seguridad de los sistemas de información. Consideramos la información como uno de los activos más importantes de nuestra organización, lo que hace que requiera una protección adecuada y específica.
La política y normativa sobre seguridad de la información de Tinámica S.L pretende proteger sus activos de información para que nadie pueda acceder, usar, divulgar, interrumpir, modificar, consultar, inspeccionar, grabar o destruir datos sin autorización.
Por este motivo la organización ha optado por aplicar un modelo de gestión, basado en el Sistema de Gestión de Seguridad dela Información (SGSI) sobre los estándares internacionales ISO 27001 y ISO20000‐1, así como dar cumplimiento al Esquema Nacional de Seguridad (ENS) en su nivel ALTO, que permita, a través de un entorno de procesos de aseguramiento dela calidad, gestionar controles de seguridad en base a un trabajo constante de mejora continua basado en análisis de riesgos, evolución tecnológica, formación y concienciación de las personas y el cumplimiento y aseguramiento de las políticas definidas y transmitidas.
Se dará acceso a los empleados a información de Tinámica S.L en la medida en que la necesiten para realizar su trabajo. Proteger adecuadamente dicha información es algo fundamental, no solo en interés de EMPRESA sino también de los clientes y socios comerciales.
Se puede acceder a la información de Tinámica S.L teniendo en cuenta los conceptos de “necesidad de conocimiento” y “propietarios de la información”. El principio “necesidad de conocimiento” significa que la información no será revelada a personas que no tengan una necesidad profesional legítima y demostrable para recibirla. El concepto “propietario de la información” protege los datos de Tinámica S.L de divulgaciones, utilizaciones, modificaciones o eliminaciones no autorizadas.
Los ordenadores y sistemas de información de Tinámica S.L están pensados para usarse exclusivamente con fines profesionales. Queda estrictamente prohibido todo material ofensivo que pueda dejar en mallugar a la sociedad, incluido contenido de carácter sexista, racista, violento, pornográfico o de otra índole en los ordenadores, servidores, aplicaciones, redes, medios de almacenamiento y servicios, como pueden ser la nube.
Si bien la presente política describe las consideraciones que deberían tener en cuenta los empleados antes, durante y después de la revelación de información, no se pueden mencionar de manera específica todas las situaciones posibles.
POLÍTICA SOBRE SEGURIDAD DE LA INFORMACIÓN DE EMPRESA
Tinámica cuenta con una estructura documental definida, donde se establece una política de seguridad de la información; así como un conjunto de directrices por los cuales se regula Sistema de Gestión de Seguridad de la Información
A continuación, se detalla el listado de los principales documentos relacionados con dicha estructura
· POL-SI-01.DOC Política de Seguridad de la Información
· PG-AR-02.DOC Evaluación de riesgos del SGSI
· PG-GI-01.DOC Gestión de incidencias del SGSI
· PG-PI-01.DOC Política de Intercambio de Información
· PG-CC-01.DOC Normativa de control de accesos
· PG-EP-01.DOC Compras y Evaluación de Proveedores
· PG-FC-01.DOC Formación y Competencia
· PG-PT-01.DOC Política de Teletrabajo
· PG-PU-01.DOC Política de uso Activos
· PG-PC-01.DOC Política de Contraseñas
· PG-PI-01.DOC Plan de Contingencia IT
· PG-PR-01.DOC Descripción Servicio y Plan de Recuperación
· PG-AI-01.DOC Auditorías Internas
· PG-CN-01.DOC Control no Conformidades, AC y AP
· PG-RL-01.DOC Política de Intercambio de Información
· PG-GI-01.DOC Gestión Incidencias SGSI
· PG-PD-01.DOC Política de Clasificación de Datos
· PG-RL-01.DOC Requisitos Legales
· PG-PD-01.DOC Política de Sanción
· F-01/MC.DOC Análisis DAFO
· F-02/MC.DOC Inventario Activos
· F-03/MC.DOC Registro de Incidentes de Seguridad
· F-04/MC.DOC Cuidado de Periféricos
· F-05/MC- DOC Protección de Datos
· F-01-PC-01.DOC Listado de documentos
· F-02-PC-02.DOC Plan General de Auditorías internas
· F-03-PC-03. DOC Registro objetivos
· F-04-ES-01. DOC Evidencias Seguimiento equipos
· F-05-DA-01.DOC Declaración de Aplicabilidad SOA
· F-06-SS-01.DOC Registro sesión Sensibilización en Seguridad Información
· F-07-ER-01.DOC Evaluación Riesgo
· F-08-AR-01.DOC Análisis de riesgos
Cada sistema de información de Tinámica S.L., tiene que estar protegido por mecanismos de autenticación. El identificador de usuario para cualquier sistema de la empresa debe ser único y reflejar la identidad de la persona.
Contraseñas de usuario: la contraseña es estrictamente confidencial y nunca debe compartirse ni revelarse a nadie. Los usuarios deben elegir contraseñas fuertes. Cuando se disponga de este tipo de software en el sistema, hay que evitar que los usuarios empleen contraseñas fáciles de recordar y que reutilicen contraseñas viejas.
Las contraseñas no deben anotarse ni dejarse en sitios donde puedan verlas personas no autorizadas (p.ej. en un posit pegado al monitor)
Si hay razones para creer que alguien aparte del usuario autorizado ha tenido acceso a una contraseña, el usuario o el administrador del sistema deberán cambiarla de inmediato.
Sien 5 minutos no ha habido actividad en un terminal informático y ordenador personal, la pantalla del sistema debe desactivarse automáticamente. La sesión sólo podrá restablecerse si el usuario introduce una contraseña válida.
Lapresente política no impide el uso de contraseñas predeterminadas, empleadasnormalmente al asignar identificadores a nuevos usuarios o en casos en que hayaque restablecer contraseñas, siempre que el usuario la cambie nada más iniciarsesión en el sistema pertinente. La política de contraseñas establecida porTinámica S.L, establece que se cambiarán las contraseñas cada 180 días ytendrán una estructura concreta (más de 8 dígitos, un nº , una minúscula, unamayúscula, un símbolo, mínimos).
Los sistemas de información deben emplear identificadores y contraseñas para cada usuario, así como mecanismos de restricción de privilegios de usuarios basados en la necesidad de conocimiento de esa persona.
Software: los empleados no deben instalar paquetes de software no autorizados por la dirección de Tinámica S.L. en ordenadores personales.
Hardware: el usuario debe tratar con el debido cuidado los ordenadores y equipos facilitados que le asigne Tinámica S.L..
Compras de software: deben ser revisadas y autorizadas por la dirección de Tinámica S.L.
Los privilegios de los sistema informáticos y de comunicación de todos los usuarios se basan en la necesidad de conocimiento o el principio de mínimos privilegios, según el cual los privilegios del usuario deben limitarse a lo que sea necesario para realizar un trabajo determinado.
Usuarios externos: a las personas que no sean empleados de Tinámica S.L. no se les debe dar un ID de usuario ni privilegios para usar ordenadores de la sociedad amenos que se tenga la aprobación por parte de dirección de Tinámica S.L.
Los privilegios otorgados a usuarios externos deben durar el mismo tiempo que su contrato, acuerdo de servicio o periodo autorizado.
Los privilegios de los sistema informáticos y de comunicación de todos los usuarios se basan en la necesidad de conocimiento o el principio de mínimos privilegios, según el cual los privilegios del usuario deben limitarse a lo que sea necesario para realizar un trabajo determinado.
La dirección de Tinámica S.L puede decidir subcontratar determinadas actividades de TI. Los motivos para dicha externalización pueden ser la reducción de costes o la insuficiencia de conocimientos técnicos o de recursos.
Todas las actividades subcontratadas deben estar cubiertas por un acuerdo de nivel deservicio entre Tinámica S.L y la entidad externa. Dicho acuerdo debe definir claramente las funciones y responsabilidades tanto de EMPRESA como de la entidad externa e incluirá como mínimo:
● el coste de subcontratación
● acuerdo de confidencialidad
● cumplimiento de las leyes sobre protección de datos
● criterios de rendimiento acordados
Los equipos informáticos móviles (ordenadores portátiles, smartphones y tabletas) y dispositivos de almacenamiento externo [disco duro externo, memorias USB y tarjetas SD] se han convertido en recursos importantes. La protección de la información en dichos equipos informáticos móviles es una prioridad para la dirección. El extravío de portátiles o móviles no solo supone una pérdida capital, sino que puede tener graves consecuencias si los datos no estaban convenientemente protegidos.
Al viajar, no deben dejarse solos los equipos informáticos móviles (p. ej. en la parte trasera de un coche, en el asiento de un tren o una sala de espera del aeropuerto).
Los usuarios que guarden información de Tinámica S.L en equipos informáticos móviles deben tomar medidas razonables para preservar la confidencialidad y seguridad de la información y de los dispositivos cuando viajen o trabajen a distancia con dichos dispositivos.
Se debe informar a la dirección de Tinámica S.L y a la policía de la pérdida o robo de equipos informáticos móviles, smartphones, tabletas o dispositivos móviles similares.
Queda prohibida toda replicación de datos de Tinámica S.L en dispositivos móviles privados.
Cada empleado, tiene firmado un compromiso de confidencialidad y de cuidado y responsabilidad de uso de equipos.
En el documento Excel de inventario, se registran todos los portátiles, fecha de compra, número de identificación, detallando sus características, la disponibilidad y si el equipo está disponible o si está asignado a un empleado.
Sin autorización previa, los equipos, la información o el software no deberían sacarse de las instalaciones.
• Internet
Tinámica S.L no es responsable del material que los usuarios vean, descarguen o reciban por Internet.
Directrices generales de uso: el usuario debe utilizar internet de forma responsable ,teniendo en cuenta las normas generales de decoro imperantes e indicadas. Asimismo, el usuario debe abstenerse de acciones que:
§ pudieran resultar perjudiciales para Tinámica S.L, ya sea para su reputación, economía o cualquier otro aspecto
§ resulte delictiva o ilegal
§ En principio, se espera que el usuario utilice internet solo con fines profesionales. Sin perjuicio de esto, se permite un uso privado casual siempre que este no perturbe las actividades cotidianas.
Redes sociales: dado que el término “redes sociales” tiene distintos usos, Tinámica S.L quiere asegurarse de que todo el mundo entienda lo que son. Por “redes sociales” se entiende cualquier herramienta o servicio que facilite conversaciones por Internet. Redes sociales no solo se aplica a grandes nombres como Facebook, Twitter o LinkedIn, también a otras plataformas que se puedan utilizar e incluyan conversaciones, aunque no se piense en ellas como redes sociales. Plataformas como YouTube, Flickr, blogs y wikis formarían parte de dichas redes sociales.
El departamento de marketing de Tinámica S.L deberá definir sus propios objetivos, ajustarlos a la situación del mercado y adaptarlos consecuentemente a la estrategia de redes sociales. Además, como hay muchas plataformas de redes sociales que pueden ser más populares o relevantes en un mercado concreto, debería tenerse en cuenta la estrategia para redes sociales.
En las redes sociales, asegúrese de mantener separadas sus actividades particulares de las profesionales y de no utilizar el nombre de Tinámica S.L.
• Correo electrónico
Identidad del usuario: está prohibido falsear, ocultar, suprimir o reemplazar la identidad de otro usuario en un sistema de comunicación electrónica. El nombre de usuario, la dirección de correo electrónico, pertenencia a una organización e información asociada que se incluya en mensaje electrónicos deben reflejar la verdadera identidad de la persona que manda los mensajes. El enviar e-mails a una entidad externa, todos los usuarios deberían usar siempre firmas de correo electrónico que indiquen su cargo, pertenencia a una empresa y dirección.
Uso profesional: el sistema de mensajería por correo electrónico sirve para realizar comunicaciones profesionales de Tinámica S.L. Queda prohibido el uso de correo no aprobados para realizar actividades relacionadas con la sociedad. Además, los usuarios deben ser conscientes de que, dependiendo de la tecnología, las comunicaciones electrónicas puede ser reenviadas, interceptadas, imprimidas, delegadas o almacenadas por otras personas. Queda prohibido el uso particular de una cuenta de correo electrónico de la empresa.
Contenido de los mensajes: los usuarios no deben emplear lenguaje soez u obsceno ni hacer comentarios despectivos en los mensajes de correo electrónico. En las comunicaciones electrónicas los usuarios deben centrarse en asuntos profesionales. Todas las comunicaciones electrónicas deben acatar las normas éticas y las reglas de educación convencionales. Quedan estrictamente prohibidas todas las formas de acoso, incluyendo a título enunciativo, el de índole sexual, étnica y racial.
Mensaje de ausencia: si el usuario no puede responder a correos electrónicos durante uno o varios días, debería activarse un mensaje automático para informar al remitente de que no se encuentra en la oficina en esos momentos. El mensaje debe incluir el tiempo de ausencia y los datos de contacto de la persona que los sustituirá durante dicho periodo. En caso de enfermedad, se pide a los usuarios que activen el mensaje de ausencia, en caso de que no puedan, deben informar ala dirección de Tinámica S.L para su activación.
Correo electrónico saliente: debe añadirse automáticamente un pie de página en todos los correos electrónicos que se manden. Dicho pie de página debe comunicar al destinatario que no utilice ni revele información contenida en el correo electrónico en caso de recibirlo por error.
Rescisión de contratos de empleo: La cuenta de correo del usuario se cerrará el día en que termine oficialmente la relación laboral y la información del correo será almacenada.
Política de intercambio de información
• Datos Confidenciales: Incluyen información de alta sensibilidad que, si se divulga de manera no autorizada, podría tener un impacto significativo en la seguridad, privacidad, conformidad legal o reputación de Tinámica S.L.
• Datos Internos: Engloban información utilizada internamente por la organización que no es confidencial pero que está destinada exclusivamente para uso interno y no debe ser compartida externamente.
• Datos Públicos: Son datos destinados para la divulgación pública y no contienen información confidencial. Pueden incluir materiales de marketing, comunicados de prensa y otra información de acceso público.
Política de Gestión de Incidencias
En el registro de incidencias se reflejarán todas aquellas incidencias que se detecten, entendiéndose por incidencia cualquier anomalía que afecte o pudiera afectar a la seguridad delos datos. Asimismo, se notificará si se detecta una vulnerabilidad o debilidad en el sistema que pueda afectar a la seguridad de la información.
El usuario que detecte la anomalía deberá cumplimentar íntegramente los campos descripción y firma, poniendo como fecha la correspondiente a la detección de la anomalía.
Las incidencias se entregarán al responsable de seguridad para su gestión.
