Política de Seguridad

Introducción

LIBELIUM COMUNICACIONES DISTRIBUIDAS S.L., en adelante, LIBELIUM, siempre ha presentado una preocupación y cuidado por la estandarización, el mantenimiento y la seguridad en sus productos, arquitecturas y proyectos. Esta preocupación se plasma dentro de la Misión, Visión y Valores de la empresa, como base fundamental de todo el trabajo que se desarrolla por el todo el personal.

Con la implementación de la norma ISO 27001 de Seguridad de la Información y del Esquema Nacional de Seguridad ENS se complementa dicha preocupación formalizando tanto para clientes como para proveedores y cubriendo la totalidad de aspectos de seguridad y privacidad aplicables a la organización.

Esta política no sólo recoge los aspectos de privacidad de la organización, sino que amplía dichos verticales según marca las cuestiones mínimas del mismo el ENS.

Objetivos

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente y supervisando la actividad diaria, reaccionando de forma rápida y eficiente frente a los incidentes.

La seguridad de los sistemas de tecnologías de la información y comunicación (TIC) es esencial para proteger la información y garantizar la prestación continua de servicios. Para enfrentar amenazas en constante evolución, se requiere una estrategia adaptable y la aplicación de medidas de seguridad conforme al Esquema Nacional de Seguridad.

El comité de Seguridad Corporativa debe asegurar que la seguridad TIC esté integrada en todas las etapas del ciclo de vida de productos y sistemas de información, desde su concepción hasta su retirada, para mantener la integridad y disponibilidad de los servicios prestados.

Todo el personal corporativo debe estar preparado para detectar y reportar incidentes al órgano administrador de seguridad para que actúe en consecuencia de acuerdo al Artículo 7 del ENS y poder prevenir, reaccionar y recuperarse ante incidentes.

Prevención

Todos los usuarios que manejen información corporativa deben esforzarse por evitar incidentes de seguridad que puedan afectar a la información o los servicios. Para lograrlo, el responsable de seguridad, junto con el órgano administrador de seguridad, debe implementar las medidas de seguridad mínimas establecidas por el ENS y cualquier control adicional identificado en una evaluación de amenazas y riesgos. Es crucial que se definan y documenten claramente los controles y las responsabilidades de seguridad de todo el personal. Para garantizar el cumplimiento de la política se deberá:

• Autorizar los sistemas antes de entrar en operación.
• Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
• Solicitar la revisión periódica de los sistemas, pudiendo ser ejecutada por un ente externo autorizado en los casos que se estime necesario.

Detection

Los servicios se pueden degradar rápidamente debido a incidentes. Por ello, los servicios principales se deben monitorizar de manera continua para detectar anomalías en los niveles de prestación de servicio y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.

Respuesta

Todos los usuarios de los sistemas de información deberán:

• Notificar cualquier incidente relacionado con las dimensiones (disponibilidad, confidencialidad o integridad) de los sistemas dentro de su alcance utilizando los medios establecidos para tal efecto.
• Aportar cualquier información relevante para la mejora de la seguridad o de la operatividad de los sistemas al órgano responsable de administrar los sistemas.

El órgano administrador de seguridad, liderado por el responsable de seguridad, deberá:

• Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
• Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en los sistemas de información.
• Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

Recuperación

Para garantizar la disponibilidad de los servicios críticos, el responsable de seguridad apoyado por el comité de seguridad corporativa deberá desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

Alcance

El alcance ISO27001 aplica a: “Sistema de Gestión de Seguridad de la Información que soporta las actividades de desarrollo, fabricación y mantenimiento de productos innovadores (hardware loT, plataforma Cloud On premise o SaaS). Conforme con la declaración de aplicabilidad Revisión 02.”

El Alcance del ENS categoría Alta aplica a: “El Sistema de Información que soporta los servicios de consultoría, diseño, despliegue (on premise o SaaS) y soporte del servicio de monitorización, análisis de datos y visualización para las plataformas suministradas a nuestros clientes.”

Marco normativo

LIBELIUM se encuentra sujeto a la siguiente normativa en la provisión de los servicios prestados a sus clientes:

• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (reglamento General de Protección de Datos), de aplicación al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
• Prevención de Riesgos Laborales Ley 31/1995 de 8 de noviembre y Real Decreto 39/1997 de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención.
• El convenio colectivo aplicable, correspondiente a “Oficinas y Despachos”.
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).
• RD-ley 13/2012 de 30 de marzo, ley de cookies.
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.

El marco de referencia que da cobertura legal a este documento se establece en las siguientes secciones del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS):

• ENS. Artículo 12. Organización e implantación del proceso de seguridad.

La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad según se detalla en el Anexo II, sección 3.1, deberá identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.

• ENS. Anexo II. Medidas de Seguridad Marco organizativo [org]. Política de seguridad [org.1]

Organización de la Seguridad

Comité de Seguridad Corporativa

El Comité de Seguridad Corporativa estará formado por el responsable de la información y servicio, el responsable del sistema, el responsable de seguridad, y al menos una persona adicional con responsabilidad en cada una de las sedes físicas de la compañía.

Dicho Comité tendrá las siguientes funciones:

• Coordinará todas las actividades relacionadas con la seguridad de la información.
• Es responsable de la redacción de la Política de Seguridad
• Es responsable de la creación y aprobación de las normas que enmarcan el uso de los sistemas de información.
• Aprobará los procedimientos de actuación en lo relativo al uso de los sistemas de información.
• Aprobará los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad en los sistemas de información.

Será misión del Comité de Seguridad Corporativa la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por el mismo comité y difundida para que la conozcan todas las partes afectadas.

Information officer

The Information Officer is usually a person who holds a senior management position in the organisation. This position is responsible for using certain information and, therefore, for its protection.

The Information Officer is ultimately responsible for any error or negligence leading to a confidentiality or integrity incident.

The ENS assigns the ‘Information Controller’ the power to establish the information security requirements. Or, in ENS terminology, the power to determine the levels of information security (although, in this case, this responsibility will rest with the CIO of the public bodies to which the service is provided).

The determination of security levels in each security dimension should be carried out within the framework established in Annex I of the National Security Scheme. The Security Policy is recommended to support the assessment criteria insofar as they are systematic, without prejudice to the possibility of particular criteria in individual cases.

Responsable de la información

El ENS asigna al ‘Responsable del Servicio’ la potestad de establecer los requisitos del servicio en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de los servicios. (aunque en este caso, la responsabilidad de definir los niveles de seguridad recaerá sobre el Responsable de la Información de los organismos públicos a los que se les presta el servicio)

La determinación de los niveles de seguridad en cada dimensión de seguridad debe realizarse dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad. Se recomienda que los criterios de valoración estén respaldados por la Política de Seguridad en la medida en que sean sistemáticos, sin perjuicio de que puedan darse criterios particulares en casos singulares.

La prestación de un servicio siempre debe atender a los requisitos de seguridad de la información que maneja (a veces se dice que ‘se heredan los requisitos’), y suele añadir requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc

Responsable de la seguridad

El Responsable de Seguridad debe ser designado directamente por la Dirección para gestionar y mantener el SGSI, apoyándose en los administradores de la seguridad.

Entre sus responsabilidades se encuentra la de mantener el proceso de mejora continua del sistema, trabajando junto con los responsables de los procesos y de los servicios. Asimismo es responsable de verificar el cumplimiento del presente Manual de Gestión, detectar las desviaciones que se produzcan en el Sistema, recomendar y canalizar mejoras y comprobar y evaluar la puesta en marcha y eficacia de las mismas. Con respecto a las actividades de gestión, debe planificar las auditorías internas y llevar la gestión de los incidentes relativos a los servicios que gestiona.

Persona designada por la Dirección, que dispondrá de las siguientes responsabilidades:

• Mantener y supervisar la gestión de la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Organización.
• Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

Administrador de la seguridad

Los administradores de la seguridad lo conformará el equipo encargado de mantener la operativa del sistema, mantener los servicios, gestionar los incidentes y actuar en consecuencia según cada caso. Son los responsables del funcionamiento operativo de los Sistemas de Información y de la gestión operativa del acceso a la información. Estarán liderados por el Responsable de la Seguridad, que será quien lidere el equipo y establezca la operativa.

Responsable del sistema

El Responsable del Sistema debe ser designado directamente por la Dirección para gestionar y mantener el ENS.

Cabe destacar, que el Responsable del Sistema se encargará entre sus funciones de:

• Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
• Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
• Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.

El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el Responsable de la Seguridad, antes de ser ejecutada.

Tratamiento de la información

LIBELIUM trata datos de carácter personal (nombres, imágenes, cuentas de email y otros datos personales), según lo establecido por el Reglamento General de Protección de Datos europeo (RGPD), que entró en vigor el 25 de mayo de 2018. El RGPD establece un marco jurídico común para la protección de datos en todos los países miembros de la Unión Europea (UE) y se aplica a todas las organizaciones que procesan datos personales de individuos dentro de la UE, independientemente de su ubicación geográfica.

Todos los sistemas de información de LIBELIUM se ajustarán a la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.

La normativa de seguridad estará disponible para todas las partes interesadas en las siguientes direcciones:

• Política de privacidad: https://www.libelium.com/privacy-policy/
• Política de cookies: https://www.libelium.com/cookie-policy/
• Términos de venta y uso: https://www.libelium.com/terms-of-sale-and-use/

Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá en cualquiera de los casos que se listan a continuación:

• Al menos una vez al año.
• Cuando cambie el tipo de información manejada.
• Cuando cambien los servicios prestados.
• Cuando ocurra un incidente grave de seguridad.
• Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad Corporativa establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.

El Comité de Seguridad Corporativa dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Obligaciones del personal

Todos los miembros de LIBELIUM tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad Corporativa disponer de los medios necesarios para que la información llegue a los afectados.

Todos los miembros de LIBELIUM asistirán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de LIBELIUM, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

Terceras partes

Cuando LIBELIUM preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando LIBELIUM utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que atañe a dichos servicios o información. Dicha tercera parte deberá firmar y cumplir las condiciones del acuerdo, quedando sujeta a las obligaciones establecidas en dicha normativa y pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.

Se garantizará que el personal de terceros esté adecuadamente formado y concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política, solicitando a la tercera parte la documentación pertinente para acreditar esto si fuera necesario.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.