1.1. Objetivos de seguridad
La Política de Seguridad de la Información es aplicable a toda la Organización y recoge el compromiso de PRODIGITALK para apoyar y aplicar las normas y procedimientos en los que se sustenta, velando por el cumplimiento de la legislación vigente y los requisitos contractuales con sus clientes.
PRODIGITALK velará por la seguridad de la información, en todos sus procesos de negocio, siendo ésta de aplicación en todas las fases del ciclo de vida de la información y sus documentos: generación, distribución, almacenamiento, procesamiento, transporte, consulta y destrucción, así como de los sistemas que los soportan: análisis, diseño, desarrollo, implantación, explotación y mantenimiento.
Dentro de la Política de Seguridad de la Compañía, se establecen como prioritarios los objetivos que se exponen a continuación, para lo cual se desarrollarán los correspondientes planes de acción que hagan posible su ejecución:
• Considerar como activos estratégicos la información y los sistemas que la soportan, manifestando la determinación de alcanzar los niveles de seguridad necesarios. Esto implica garantizar la autenticación, confidencialidad, integridad y auditabilidad de la información y servicios que la soportan.
• Preservar los accesos y la circulación de personas en edificios que albergan instalaciones sensibles para el normal funcionamiento de la Compañía.
• Asegurar la información almacenada, en proceso o en circulación, el software que la trata y la documentación de los Sistemas de Información necesaria para su tratamiento, frente al conocimiento, destrucción, copia o manipulación no autorizadas.
• Disponer de sistemas de control de accesos a los Sistemas de Información y a los Servicios Informáticos, que permitan controlar y administrar su uso.
• Promover acciones de formación y concienciación en materia de seguridad de la información, dirigidas a todo el personal de la organización. Garantizando la difusión de la presente Política y de los documentos que la desarrollan.
• Prevenir y corregir situaciones de riesgo, destrucción o avería de los medios que facilitan y distribuyen la información.
• Crear y mantener estructuras organizativas y de recursos que den soporte a la función de seguridad.
• Establecer mecanismos de control y cumplimiento de las normas de seguridad.
• Garantizar la existencia de los mecanismos necesarios que aseguren la continuidad de las actividades críticas de la organización ante contingencias graves que afecten a lo sistemas de información.
1.2. Clasificación de los activos de la información
• Todos los activos de información deben estar claramente identificados, confeccionando y manteniendo un inventario.
• La información será clasificada en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización.
• Todos los activos de información tendrán un Propietario, asignándole la responsabilidad del mantenimiento de los controles apropiados.
1.3. Gestión del riesgo
PRODIGITALK es responsable de que se lleve a cabo el proceso de análisis y gestión de los riesgos a los que esté sometida su información.
La finalidad de este proceso es servir de guía y determinar las acciones apropiadas en materia de seguridad de la información, así como el orden de prioridad en la ejecución para la gestión de los riesgos detectados.
Para comenzar el proceso se identificarán los activos críticos para la organización, es decir, aquellos activos que soportan los principales procesos de negocio de la compañía.
A continuación se identificarán los riesgos a los que están expuestos dichos activos, valorando el impacto que podrían tener en la organización en caso de materializarse y producirse algún fallo o pérdida en los procesos de negocio de la organización.
Una vez analizados los riesgos, la organización habrá establecido criterios para la gestión de los mismos. Para cada uno de los riesgos identificados será necesario decidir cómo se va a gestionar el mismo, las decisiones pueden ser:
• Reducir el riesgo mediante la aplicación de controles, controles que pueden ser de contenido organizativo o consistir en la implantación de soluciones tecnológicas.
• Aceptar el riesgo de una forma objetiva y consciente, conociendo el impacto que tendría la materialización del mismo en la organización.
• Evitar el riesgo no permitiendo las acciones que posibilitan la materialización del mismo.
• Transferir el riesgo a terceros (externalizando servicios, contratando seguros…).
1.4. Seguridad ligada a los Recursos Humanos
Las responsabilidades en materia de seguridad deberán ser detalladas en la etapa de selección, incluidas en los contratos y revisadas durante el desempeño del individuo como empleado. Todos los empleados y usuarios externos a las instalaciones de procesamiento deberán firmar un acuerdo de confidencialidad o no revelación de la información. Así mismo, se deberán implantar los controles necesarios que garanticen la seguridad en relación con la definición del trabajo y los procesos de negocio
Todos los empleados y colaboradores de PRODIGITALK deberán recibir una adecuada formación en los procedimientos de seguridad y en el uso correcto de los Servicios y Procesos de Información de PRODIGITALK , concienciando a los empleados y colaboradores de las amenazas y riesgos en el ámbito de la seguridad de la información.
Todos los empleados y colaboradores de PRODIGITALK tendrán que conocer los procedimientos para informar de los distintos tipos de incidencias que puedan tener impacto en la seguridad de los activos de la Compañía. Los incidentes que afecten a la seguridad de la información serán comunicados por los canales adecuados que marque la Compañía de una forma rápida y fiable. Se establecerá un proceso disciplinario formal para ocuparse de los empleados y colaboradores que perpetren violaciones de seguridad.
1.5. Seguridad Física y del entorno
Las áreas (CPD, oficinas, despachos, plantas de producción…) donde se ubiquen los activos de información y los sistemas que los soportan, deberán ser adecuadamente protegidas de amenazas físicas o ambientales, sean intencionadas o accidentales. Esta protección deberá ser proporcional al riesgo y en función de la criticidad del activo de información. Deberán implementarse los controles necesarios para cumplir dicha protección. Las instalaciones de procesamiento de la información y la información deben ser protegidas contra la divulgación, modificación o robo de la información por parte de personas no autorizadas, debiéndose implementar controles para minimizar pérdidas o daños.
1.6. Seguridad de las operaciones y comunicaciones
Se establecerán los procedimientos para la gestión y operación de todos los recursos de tratamiento de la información. Los recursos de desarrollo, pruebas y operación deberán separarse.
Se tendrán que realizar estudios para futuros requerimientos de capacidad, a fin de reducir los riesgos de sobrecarga de los sistemas y garantizar la disponibilidad de capacidad y recursos adecuados, a fin de minimizar el riesgo de fallos en los sistemas. Los requisitos operacionales de los sistemas nuevos antes de su aprobación y uso deberán ser documentados y probados.
La compañía deberá disponer de mecanismos para el control de software malicioso, además de concienciar a los usuarios del peligro del uso de software no autorizado y malicioso.
Se deberá garantizar la integridad y disponibilidad de los servicios de tratamiento de la información y comunicación, creando los procedimientos necesarios. Como los procedimientos rutinarios de copias de seguridad de datos, verificación en restauración y registro de eventos y fallos cuando corresponda.
Se deberán realizar controles específicos en todas aquellas comunicaciones que utilicen redes externas a la compañía, para proteger los datos sensibles que circulan.
Deberán ser protegidos los medios de almacenamiento, estableciendo los procedimientos operativos adecuados. Evitando interrupciones en las actividades de la empresa, así como el resguardo de soportes de almacenamiento, documentos, datos de entrada/salida contra robo, daño y acceso no autorizado.
Deberá controlarse el intercambio de información dentro y fuera de la compañía, siguiendo la legislación aplicable, estableciendo los procedimientos para proteger la información y los medios de tránsito. Y en especial el intercambio electrónico de datos, cómo correo electrónico, portales comerciales etc.
1.7. Control de acceso
Los procedimientos para el control de acceso a los sistemas de información deberán cubrir todas las etapas del ciclo de vida de los accesos de un usuario. El acceso no autorizado a los sistemas y servicios de información deberá ser evitado implementando controles apropiados para la gestión de los derechos de usuario.
Se tendrá que concienciar a los empleados y colaboradores acerca de sus responsabilidades en el mantenimiento de las medidas de control de acceso, particularmente en el uso de credenciales y en la seguridad de su equipamiento.
Prevenir el acceso no autorizado a las plataformas de los servicios de información, mediante mecanismos de identificación y autenticación apropiados e implantando mecanismos de seguridad a nivel de sistema operativo para restringir el acceso a los recursos.
Se evitará el acceso no autorizado a la información contenida en los sistemas. Las aplicaciones deberán proporcionar acceso a la información solo a su propietario, personas autorizadas nominalmente o usuarios designados formalmente. Se deberán usar las prestaciones de seguridad lógica dentro de los sistemas de aplicación para restringir el acceso.
Los accesos a la información y los procesos de negocio deberán ser monitorizados, a fin de comprobar la eficacia de los controles adoptados y detectar las desviaciones respecto de la Política de control de accesos. El seguimiento y control del sistema permitirá comprobar la efectividad de los controles instalados y verificar la conformidad con el modelo de Política de acceso.
Deberá garantizarse la seguridad de la información en el uso de dispositivos móviles e instalaciones de trabajo remotas. La protección requerida será proporcional al riesgo que implique la modalidad del trabajo. En caso de teletrabajo la compañía debería implantar protección en el lugar del teletrabajo y asegurar que existen los acuerdos adecuados para este tipo de trabajo.
1.8. CONTROLES CRIPTOGRÁFICOS
PRODIGITALK garantizará el uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información.
1.9. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Se desarrollarán directrices esenciales para garantizar que la seguridad es incorporada en el desarrollo y mantenimiento de los sistemas, incluyendo las infraestructuras, las aplicaciones y el desarrollo de aplicaciones propias, mediante el análisis y especificación de requerimientos de seguridad, designando controles apropiados, a fin de prevenir pérdidas, modificación o usos no autorizados. Los requerimientos de seguridad deberán ser identificados y aprobados antes del desarrollo de los sistemas de información.
Dentro de las aplicaciones se tendrán que diseñar las medidas de control y las pistas de auditoria o los registros de actividad necesarios, con el fin de evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Se deberá incluir la validación de los datos de entrada, el tratamiento interno y los datos de salida.
Cuando una información sea crítica y tenga un alto riesgo, deberá usar sistemas y técnicas criptográficas para proteger la información, con el fin de proteger la confidencialidad, autenticidad e integridad de la información.
Se garantizará que los proyectos y actividades de soporte de los sistemas de información, se lleven a cabo de manera segura, controlando el acceso a todos los ficheros de datos. El mantenimiento de la integridad de los sistemas de información será responsabilidad del Propietario de la información o sistema de aplicación.
Se controlarán estrictamente los entornos de los proyectos y el soporte a los mismos. Los Propietarios de los sistemas de aplicación también serán responsables de la seguridad de los mismos, garantizando que todos los cambios propuestos sean revisados, a fin de comprobar que los mismos no comprometen la seguridad del sistema
1.10. RELACIÓN CON PROVEEDORES
Cuando PRODIGITALK utilice servicios de proveedores o les ceda información, se les hará participes de esta Política y de la normativa de seguridad que la desarrolla.
Cualquier cesión de datos a dichos proveedores deberá estar sujeta a requisitos de seguridad equivalentes a los establecidos internamente. Para ello, se establecerán acuerdos o contratos que garanticen el cumplimiento de estos y el nivel adecuado de concienciación en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
1.11. GESTIÓN DE INCIDENCIAS
Se dispondrán los medios para garantizar que los eventos que afecten a la seguridad de la información y las debilidades asociadas a los sistemas sean comunicados de forma tal que las acciones correctivas sean aplicadas de manera oportuna y adecuada.
Deberán existir procedimientos formales de comunicación y escalado de incidentes. Todos los trabajadores, contratistas y terceros deberán conocer los procedimientos establecidos y estarán obligados a comunicarlos al contacto designado.
Deberán existir responsabilidades y procedimientos para tratar dichos incidentes, aplicándose un proceso de mejora continua a la reacción, supervisión, evaluación y la gestión general de los mismos. Cuando sean necesarias pruebas, éstas deberán recopilarse para garantizar el cumplimiento de los requisitos legales.
1.12. GESTIÓN DE CONTINUDAD DE NEGOCIO
La continuidad de las actividades críticas de la Compañía estará garantizada mediante la implantación de directrices y unos adecuados controles preventivos y correctivos, a fin de reducir los fallos de seguridad a un nivel aceptable. Los planes de contingencia deben desarrollarse e implementarse para asegurar que los procesos de negocio pueden restablecerse en el tiempo requerido, esto incluirá una serie de controles para identificar y reducir los riesgos, limitar las consecuencias de los incidentes que afectan negativamente, y asegurar el tiempo de respuesta de las operaciones esenciales.
1.13. CUMPLIMIENTO
El diseño, operación, uso y administración de los sistemas de información deberá estar sujeto a requisitos de seguridad legal, normativa y contractual. Se deberán impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.
PRODIGITALK adquiere el compromiso de velar por el cumplimiento de la legislación vigente en materia de protección y seguridad de la información y de los sistemas de información, aplicable a todos sus procesos de negocio. Así mismo, PRODIGITALK también se compromete a cumplir la legislación aplicable en el alcance de los servicios y proyectos prestados a sus clientes (LOPD, entre otras). La empresa, sus empleados y colaboradores se comprometen a adoptar las medidas necesarias para cumplir con la legislación vigente.
1.14. OBLIGACIONES DEL PERSONAL
Las obligaciones en materia de seguridad deberán ser detalladas en la etapa de selección, incluidas en los contratos y revisadas durante el desempeño del individuo como empleado.
Todos los empleados y usuarios externos a las instalaciones de procesamiento deberán firmar un acuerdo de confidencialidad o no revelación de la información. Así mismo, se deberán implantar los controles necesarios que garanticen la seguridad en relación con la definición del trabajo y los procesos de negocio.
Todos los empleados y colaboradores de PRODIGITALK deberán recibir una adecuada formación en los procedimientos de seguridad y en el uso correcto de los Servicios y Procesos de Información de PRODIGITALK, concienciando a los empleados y colaboradores de las amenazas y riesgos en el ámbito de la seguridad de la información.
Todos los empleados y colaboradores de PRODIGITALK tendrán que conocer los procedimientos para informar de los distintos tipos de incidencias que puedan tener impacto en la seguridad de los activos de la Compañía. Los incidentes que afecten a la seguridad de la información serán comunicados por los canales adecuados que marque la Compañía de una forma rápida fiable. Se establecerá un proceso disciplinario formal para ocuparse de los empleados y colaboradores que perpetren violaciones de seguridad.