Política de Seguretat

1. Objectiu i Missió

La present política de seguretat té com a objectiu establir els criteris i directrius generals per a la protecció de la informació a la nostra organització, d’acord amb la normativa que estableix l’Esquema Nacional de Seguretat (ENS).

La Direcció de CLICK-IT, conscient de la importància d’una bona gestió de la seguretat de la informació per al seu negoci i la satisfacció del client, compta amb un Sistema de Gestió de Seguretat de la Informació.

CLICK-IT reconeix la importància de protegir la confidencialitat, integritat, disponibilitat, autenticitat i traçabilitat de la informació, evitant la pèrdua, la divulgació, modificació i utilització no autoritzada de tota la informació, incloent-hi les dades personals, per la qual cosa està compromesa amb desenvolupar, implantar, mantenir i millorar contínuament el SISTEMA de GESTIÓ DE LA SEGURETAT.

2. Abast

La Política de Seguretat de la informació (ENS) s’aplica a les activitats següents:

  •  Els sistemes que donen suport als processos de prestació de serveis per a la gestió de sistemes, HelpDesk, SOC 24×7, Pentest i serveis TI en general, segons el document d’aplicabilitat vigent.

La política de seguretat és de compliment obligatori per a tots els empleats, proveïdors i col·laboradors de CLICK-IT que tinguin accés a informació i als sistemes d’informació, electrònics i físics.

3. Rols i Comitè. Funcions i responsabilitats

La seguretat de la informació és responsabilitat de tots els membres de l’organització.

La implantació de la Política de Seguretat requereix que tots els membres de l’organització entenguin les seves obligacions i responsabilitats en funció del lloc exercit.

Com a part de la Política de Seguretat de la Informació, els principals rols i les seves responsabilitats queden identificats i detallats de la manera següent:

Responsable de Seguretat de la informació
Desenvolupar, implementar i mantenir polítiques i procediments de seguretat de la informació.
 Supervisar i gestionar la seguretat dels actius d’informació de l’organització.
 Identificar i avaluar els riscos de seguretat de la informació i desenvolupar estratègies per mitigar-los.
 Coordinar i participar en investigacions d’incidents de seguretat de la informació.
 Mantenir-se actualitzat sobre les últimes tendències i amenaces en ciberseguretat i recomanar mesures per millorar la postura de seguretat de l’organització.

Responsable de la Informació

  • Gestionar la informació dins de l’organització i assegurar-ne la integritat, disponibilitat i confidencialitat.
  • Definir i aplicar polítiques i procediments per a la gestió de la informació.
  • Identificar i classificar la informació crítica de l’organització.
  • Implementar mesures de protecció de la informació, com ara xifratge i controls d’accés.
  • Realitzar auditories internes i externes per garantir el compliment de les polítiques de gestió de la informació.

Responsable del Servei

  • Gestionar i supervisar la prestació de serveis de seguretat de la informació.
  • Coordinar amb altres equips i proveïdors per garantir la disponibilitat i fiabilitat dels serveis de seguretat.
  • Realitzar avaluacions periòdiques de la qualitat dels serveis de seguretat i proposar millores.
  • Coordinar la resposta a incidents de seguretat i gestionar la comunicació amb els usuaris afectats.
  • Mantenir actualitzats els acords de nivell de servei (SLA) i garantir-ne el compliment.

Responsable del Sistema de Gestió ENS

  • Implementar i mantenir el Sistema de Gestió de Seguretat de la Informació (SGSI) basat en l’estàndard ENS (Esquema Nacional de Seguretat).
  • Realitzar avaluacions de riscos i establir controls de seguretat adequats.
  • Coordinar i realitzar auditories internes i externes per verificar el compliment dels requisits de seguretat.
  • Capacitar el personal en pràctiques de seguretat i consciència de la informació.
  • Mantenir la documentació del SGSI actualitzada i assegurar-ne l’accessibilitat.

Responsable de sistemes

  • Administrar i mantenir els sistemes informàtics de l’organització.
  • Implementar mesures de seguretat per protegir els sistemes contra amenaces i atacs.
  • Supervisar el rendiment dels sistemes i prendre mesures per optimitzar-ne el funcionament.
  • Realitzar còpies de seguretat i recuperació de dades en cas d’incidents o desastres.
  • Mantenir-se actualitzat sobre les últimes tecnologies i tendències en sistemes d’informació.

Persona de Contacte (POC)

  • Actuar com a enllaç principal entre diferents equips o parts interessades en el context de la ciberseguretat.
  • Recollir i comunicar informació rellevant sobre incidents de seguretat o problemes relacionats.
  • Coordinar la resolució de problemes i la implementació de mesures correctives.
  • Proporcionar actualitzacions regulars i mantenir una comunicació fluida entre totes les parts involucrades.
  • Servir com a punt de contacte per a consultes i sol·licituds relacionades amb la ciberseguretat.

COMITÉ DE SEGURETAT

El Comitè de Seguretat està compost per:

  • Responsable de Seguretat
  • Responsable de la Informació
  • Responsable del Servei
  • Responsable del Sistema de Gestió ENS
  • Responsable de sistemes

El Comitè de Seguretat tindrà les funcions següents:

  • Assessorar i atendre les inquietuds en matèria de Seguretat de la Informació, a totes les persones de CLICK-IT, sempre que li sigui requerit.
  • Resoldre els conflictes de responsabilitat que puguin aparèixer entre els diferents responsables i/o entre les diferents àrees, elevant aquells casos en què no tingui prou autoritat per decidir.
  • Recollir les funcions i obligacions dels/de les Responsables de la Informació i els Serveis ENS, en aquelles accions transversals en què li sigui sol·licitat i/o es consideri necessari.
  • Promoure la millora contínua del sistema de gestió de la Seguretat de la Informació.

Les funcions del Comitè i els Rols de Seguretat estan desenvolupades i actualitzades al manual de Funcions de CLICK-IT.

Procediments de designació

CLICK-IT procedirà a realitzar la constitució del comitè i dels diferents rols de Seguretat assignant les responsabilitats corresponents.

Tots els nomenaments es revisaran cada 3 anys o quan els llocs quedin vacants.

Resolució de conflictes

El Comitè serà l’encarregat de resoldre els conflictes de responsabilitat que puguin aparèixer entre els diferents responsables i/o entre les diferents àrees, elevant aquells casos en què no tingui prou autoritat per decidir.

4. Avaluació de riscos

L’organització durà a terme una avaluació dels riscos de seguretat de la informació i actualitzarà periòdicament aquesta avaluació per mantenir-la actualitzada.

5. Categorizació

CLICK-IT disposa d’una metodologia d’avaluació d’impacte i risc basada en el model Magerit Ver.3 i segons els aspectes descrits a la Guia CC-STIC 803 Valoració dels sistemes.

Per a la determinació de la categoria d’un sistema d’informació vinculat a l’abast especificat, es defineixen tres categories possibles: BÀSICA, MITJANA i ALTA. 

  • ALTA si alguna de les seves dimensions de seguretat assoleix el nivell ALT (9 a 10 punts de l’anàlisi d’impacte).
  • MITJANA si alguna de les seves dimensions de seguretat assoleix el nivell MITJÀ, i cap assoleix un nivell superior (6 a 7 punts de l’anàlisi d’impacte).
  • BÀSICA si alguna de les seves dimensions de seguretat assoleix el nivell BAIX, i cap assoleix un nivell superior (1 a 5 punts de l’anàlisi d’impacte).

    6. Polítiques i procediments de seguretat de la informació

    L’organització establirà polítiques de seguretat de la informació que inclouran les àrees següents:

    • Identificació i autenticació d’usuaris
    • Control d’accés
    • Gestió de contrasenyes
    • Gestió de pegats i actualitzacions
    • Còpies de seguretat
    • Gestió d’incidents de seguretat
    • Política de seguretat de la informació en l’ús de serveis al núvol

    Aquestes polítiques de seguretat es desenvoluparan aplicant els següents requisits mínims:

    • Organització i implantació del procés de seguretat.
    • Anàlisi i gestió dels riscos.
    • Gestió de personal.
    • Professionalitat.
    • Autorització i control dels accessos.
    • Protecció de les instal·lacions.
    • Adquisició de productes de seguretat i contractació de serveis de seguretat.
    • Mínim privilegi.
    • Integritat i actualització del sistema.
    • Protecció de la informació emmagatzemada i en trànsit.
    • Prevenció davant d’altres sistemes d’informació interconnectats.
    • Registre de l’activitat i detecció de codi maliciós.
    • Incidents de seguretat.
    • Continuïtat de l’activitat.
    • Millora contínua del procés de seguretat.

    7. Qualificació de la documentació

    Per facilitar el nivell de privacitat dels documents del propi sistema de gestió de la seguretat (política, normativa, …) s’estableixen 4 nivells de privacitat:

    Pública

    Informació que es pot difondre lliurement dins i fora de l’organisme i la divulgació de la qual no afecta la institució en termes de pèrdua d’imatge i/o econòmica.

    Interna

    Informació que, sense ser confidencial ni restringida, s’ha de mantenir en l’àmbit intern de CLICK-IT i no ha d’estar disponible externament, excepte per a terceres parts involucrades amb compromís previ de confidencialitat i coneixement del seu propietari.

    Restringida

    Informació sensible, interna a àrees o projectes, a la qual ha de tenir accés controlat un grup reduït de persones i no tota l’organització.

    Confidencial

    Informació d’alta sensibilitat que ha de ser protegida per la seva rellevància sobre decisions estratègiques, impacte financer, oportunitats de negoci, potencial de frau o requisits legals.

    Qualsevol informació no classificada es tractarà per defecte com a Interna, per la qual cosa la seva divulgació haurà d’estar autoritzada pel seu propietari.

    8. Protecció de dades personals

    L’organització complirà amb les obligacions establertes a la normativa vigent en matèria de protecció de dades personals, garantint en tot moment la confidencialitat, integritat i disponibilitat de les dades personals tractades.

    9. Formació i conscienciació

    L’organització proporcionarà la formació i conscienciació necessària a tots els membres de l’organització perquè coneguin i compleixin la política de seguretat de la informació i la normativa aplicable.

    10. Auditories

    L’organització durà a terme auditories internes periòdiques per comprovar el compliment de la política de seguretat de la informació i la normativa aplicable.

    11. Revisión de esta política de seguridad

    La política de seguretat serà revisada anualment mitjançant la revisió del sistema per direcció, per assegurar que s’adapta a les necessitats de l’organització i als canvis en la normativa aplicable.

    12. Compliment normatiu

    L’organització complirà amb la normativa aplicable en matèria de seguretat de la informació, incloent-hi l’Esquema Nacional de Seguretat (ENS).

    Segons la legislació vigent, les lleis aplicables en matèria de Seguretat de la Informació són:

    • Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’administració electrònica.
    • Resolució de 13 d’octubre de 2016, de la Secretaria d’Estat d’Administracions Públiques, per la qual s’aprova la Instrucció Tècnica de Seguretat de conformitat amb l’Esquema Nacional de Seguretat.
    • Reial decret legislatiu 1/1996, de 12 d’abril, pel qual s’aprova el Text Refós de la Llei de Propietat Intel·lectual.
    • Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades.
    • Llei orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals.
    • RD 43/2021 de seguretat de les xarxes i sistemes d’informació.
    • Llei 34/2002 de serveis de la societat de la informació i de comerç electrònic, que regula la Gestió d’incidents de ciberseguretat que afectin la xarxa d’Internet.

      Conclusión

      La present política de seguretat es basa en l’Esquema Nacional de Seguretat (ENS), i estableix les directrius generals per a la protecció de la informació a la nostra organització. Tots els membres de l’organització són responsables de la seguretat de la informació, i l’organització durà a terme auditories periòdiques per comprovar el compliment de la política de seguretat i la normativa aplicable.

      La política serà revisada periòdicament per assegurar la seva adaptació a les necessitats de l’organització i als canvis en la normativa. 

       

      CEO. Oscar Álvarez

      Information Security Manager. Gerard Ciria

      Data Responsible. Carlos Antunez

      IS.Tech.Service & Support. Jesús Palacios