Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo. Estas cookies y/o tecnologías similares que almacenan y recuperan información cuando navegas, realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Política de Seguridad de la Información y Esquema Nacional de Seguridad
La Dirección de Future Space, consciente de la necesidad de promover, mantener y mejorar el enfoque hacia el cliente en todas sus actividades, ha
implantado un Sistema de Gestión Integrado (SGI) conforme al estándar cuyo objetivo final es asegurar que entendemos y compartimos las
necesidades y metas de nuestros clientes, intentando prestar servicios que cumplan sus expectativas trabajando en la mejora continua. Manifiesta
expresamente su compromiso de potenciar la Seguridad y Ciberseguridad de la Información del servicio prestado, y se compromete a satisfacer las
necesidades y expectativas de las partes interesadas, a mantener alta nuestra competitividad en los servicios y productos de Data & Analytics,
Ciberinteligencia, Internet of things, Cloud empresarial y Desarrollo de aplicaciones
Misión y Objetivos:
- Fomentar la mejora continua de los servicios y soporte al cliente.
- Continuar el posicionamiento de Future Space como referente en el sector.
- Proporcionar soluciones de software para transformar los datos y la información para ayudar en la toma de decisiones de nuestros clientes.
- Proporcionar a los clientes el equipo más profesional y disponer de forma inmediata y durante el tiempo necesario de técnicos altamente cualificados, expertos en las disciplinas requeridas y acostumbrados a trabajar en equipo.
- Tener una prestación del servicio basada en nuestro compromiso con la mejora continua de nuestros sistemas, con la seguridad y ciberseguridad de la información como pilar central y por defecto.
Nuestra misión y objetivos lo conseguiremos a través de:
- Un sistema de objetivos, métricas e indicadores de mejora continua, seguimiento, medición de nuestros procesos internos, así como de la satisfacción de nuestros clientes. Estableciendo y supervisando el cumplimiento de los requisitos contractuales para asegurar un servicio eficaz y seguro.
- Formando y concienciando continuamente a nuestro equipo para tener el mayor grado de profesionalidad y especialización posible, además teniendo nuestras infraestructuras en un estado adecuado y en concordancia con los requerimientos de nuestros clientes.
- Con un procedimiento seguro de gestión de adquisición de productos.
- Cumpliendo las exigencias de la legislación vigente, especialmente con el GDPR y el cumplimiento de nuestra Documentación de Seguridad.
- Introduciendo los procesos de mejora continua que permitan un avance permanente en nuestra gestión de Seguridad de la Información.
- Gestionando y elaborando planes para la gestión y tratamiento de los riesgos con una metodología de análisis y gestión de riesgos utilizada, basada en ISO 31000.
- Gestionando las comunicaciones internas y externas e información almacenada y en tránsito.
- Asegurando la interconexión con otros sistemas de información.
- Gestionando y monitorizando la actividad con la gestión de logs.
- Con especial atención a la gestión de incidentes de seguridad.
- Asegurando la continuidad y disponibilidad del negocio y de los servicios.
- Asegurar que nuestros Activos y Servicios cumplen con las medidas del ENS de Nivel ALTO para las dimensiones de Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad.
Así mismo, estos principios se deberán contemplar en las siguientes áreas de seguridad:
- Física: Comprendiendo la seguridad de las dependencias, instalaciones, sistemas hardware, soportes y cualquier activo de naturaleza física que trate o pueda tratar información,, así como los accesos físicos.
- Lógica: Incluyendo los aspectos de protección de aplicaciones, redes, comunicación electrónica, sistemas informáticos y con los accesos lógicos.
- Político-corporativa: Formada por los aspectos de seguridad relativos a la propia organización, a las normas internas, regulaciones y normativa legal.
El objetivo último de la seguridad de la información es asegurar que una organización pueda cumplir sus objetivos utilizando sistemas de información. En las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:
- Organización e implantación del proceso de seguridad.
- Análisis y gestión de los riesgos.
- Gestión de personal
- Profesionalidad.
- Autorización y control de los accesos..
- Protección de las instalaciones.
- Adquisición de productos de seguridad y contratación de servicios de seguridad.
- Mínimo privilegio.
- Integridad y actualización del sistema.
- Protección de la información almacenada y en tránsito.
- Prevención ante otros sistemas de información interconectados.
- Registro de la actividad y detección de código dañino.
- Incidentes de seguridad.
- Continuidad de la actividad.
- Mejora continua del proceso de seguridad.
Roles o funciones de seguridad
Responsable de la Información:
Determinará los requisitos de la información tratada.
- Implantar y mantener el Sistema de Gestión Integrado (SGI) mejorando continuamente su eficacia.
- Implantar y mantener el ENS mejorando continuamente su eficacia.
- Supervisar los procedimientos y las instrucciones técnicas.
- Aplicar las medidas y seguimientos indicados por el DPO.
- Realizar el seguimiento y verificar la implantación y eficacia de todas las acciones correctoras y preventivas establecidas.
- Asegurar que el sistema implantado cumple con la norma establecida.
- Analizar los datos obtenidos en el Sistema de Gestión Integrado (SGI) y ENS y proponer mejoras.
- Elaborar el plan anual de auditorías internas.
- Participar en la toma de decisiones en la revisión por la dirección.
- Gestión de No Conformidades de seguridad.
- Participar en Auditoria Externas.
- Responsable de los datos privados de la empresa en cuanto a su pérdida, el robo y la desactualización.
- Cumplir con el manual de buenas prácticas de seguridad de la información.
- Imparte los programas de formación para que el personal sepa cómo actuar en el supuesto de que se produzca contingencias.
- Mantener actualizados los medios de contacto con las autoridades.
- Lleva el inventario de soportes que contienen datos de carácter personal.
- Analiza los informes de auditoría y elevan las conclusiones al responsable de los datos.
- Convoca las reuniones del CSI.
- Genera las actas de reunión del CSI.
- Gestiona las no conformidades, acciones correctivas y acciones preventivas de SI.
- Mantiene los documentos del SGI.
- Mantiene y despliega la política de seguridad de Future Space así como el resto de las políticas al personal implicado en cada una de ellas.
- Responsable de la gestión de la auditoría de seguridad de protección de datos y RGPD.
- Supervisa las tareas de LOPD del DPO.
- Confecciona los documentos de seguridad de Future Space.
- Elabora los acuerdos para el tratamiento de datos por terceros.
- Atiende incidencias en materia de protección de datos.
- Se encarga de contactar con las autoridades en caso necesario.
- Aplicación y supervisión del cumplimiento de las políticas del SGI.
- Mantenimiento y aplicación del Documento de Aplicabilidad del SGI.
Responsable de Sistemas:
Determina los requisitos de los servicios prestados.
- Desarrollar, operar y mantener el Sistema durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
- Definir la topología y política de gestión del Sistema estableciendo los criterios de uso y los servicios disponibles en el mismo.
- Definir la política de conexión o desconexión de equipos y usuarios nuevos en el Sistema.
- Aprobar los cambios que afecten a la seguridad del modo de operación del Sistema.
- Decidir las medidas de seguridad que aplicarán los suministradores de componentes del Sistema durante las etapas de desarrollo, instalación y prueba de este.
- Implantar y controlar las medidas específicas de seguridad del Sistema y cerciorarse de que éstas se integren adecuadamente dentro del marco general de seguridad.
- Determinar la configuración autorizada de hardware y software a utilizar en el Sistema.
- Aprobar toda modificación sustancial de la configuración de cualquier elemento del Sistema.
- Llevar a cabo el preceptivo proceso de análisis y gestión de riesgos en el Sistema.
- Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS.
- Elaborar y aprobar la documentación de seguridad del Sistema.
- Delimitar las responsabilidades de cada entidad involucrada en el mantenimiento, explotación, implantación y supervisión del Sistema.
- Velar por el cumplimiento de las obligaciones del RSI
- Investigar los incidentes de seguridad que afecten al Sistema, y en su caso, comunicación al Responsable de Seguridad o a quién éste determine.
- Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos.
- Además, el responsable del sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el responsable de seguridad, antes de ser ejecutada.
Responsable de Seguridad de la Información:
Determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
- Responsable de la ciberseguridad.
- Supervisar el Manual de Seguridad, los procedimientos y las instrucciones técnicas.
- Responsabilidad general de administrar la implementación de las prácticas de seguridad.
- Asegurar que el sistema implantado cumple con la norma establecida.
- Analizar los datos obtenidos en el Sistema de Gestión de Seguridad de la Información y ENS y proponer mejoras.
- Participar en la toma de decisiones en la revisión por la dirección.
- Participar en Auditoria Externas.
- Responsable del riesgo de la intrusión física de los dispositivos de la empresa.
- Cumplir con el manual de buenas prácticas de seguridad de la información.
- Segregación de tareas y entornos.
- Comunicar cualquier emergencia de incendio, inundación o avería de los equipos de climatización que pueda activar el PCN.
- Revisa el Plan de Continuidad del negocio.
- Verifica el funcionamiento del Plan de Continuidad de Negocio.
- Controla el acceso de personas a los locales donde están instalados los sistemas.
- Supervisa las incidencias de seguridad producidas.
- Realiza y custodia las copias de seguridad.
- Genera los planes de tratamiento de gestión de riesgo y supervisa su implantación.
- Actualiza el análisis de riesgos.
- Supervisa la recogida de métricas .
- Realiza las revisiones de seguridad del SGI.
- Mantiene el Plan de Continuidad de Negocio.
- Incorpora en el registro de incidencias las medidas correctoras.
- Aplicación y supervisión del cumplimiento de las políticas de SGI.
Responsable del Servicio:
Determina los niveles de seguridad de los servicios.
- Garantizar el cumplimiento de los objetivos y métricas establecidos para el servicio (SLAs).
- Organización diaria de los recursos.
- Responsable de la pérdida y robo de información de los servicios y soluciones informáticas para clientes y usuarios en general.
- Cumplir con el manual de buenas prácticas.
- Determina los requisitos de los servicios prestados.
- Programar, dirigir, coordinar, supervisar y controlar todas las actividades del servicio.
- Revisión y cumplimiento de los informes de los servicio.
Comité de Seguridad de la Información
El Comité de Seguridad de la Información (CSI) de Future Space alcanza a toda la empresa, es el mecanismo de coordinación y resolución de conflictos, entre otras funciones:
- Designación y/o renovación de los cargos de seguridad, así como sus funciones y responsabilidades.
- Crear, planificar, implementar e integrar la dirección estratégica de la organización y alinearla con el SGSI.
- Conocimiento del mercado TIC y nuevas tecnologías y su aplicación en la compañía.
- Dirección y supervisión de los distintos proyectos de seguridad de la compañía.
- Participar y promover el cumplimiento de la política de seguridad de la información de la organización.
- Velar por el cumplimiento de disposiciones legales y normas de las administraciones públicas y de régimen interno relativas a seguridad de la información.
- Aprobación del SGSI, así como sus cambios y nuevas versiones.
Componen el CSI: Presidente, Vicepresidente, Responsable de la Información, Responsable del Servicio y Responsable de Seguridad de la información.
Estructuración de la documentación de seguridad del sistema:
La documentación del sistema sigue la siguiente estructura:
La clasificación de la información del sistema se clasifica en las siguientes categorías, tal y como se establece en el procedimiento PS.8 Gestión de activos
FutureSpace v1:
- Uso Público
- Uso Interno
- Uso Confidencial
Legislación aplicable en materia de tratamiento de datos de carácter personal
En materia de tratamiento de datos de carácter personal se tendrá en cuenta, principalmente, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y la legislación nacional correspondiente.
El marco legal y regulatorio aplicable se encuentran recogido en el documento Registro Identificación y evaluación de requisitos legales Future Space
Los riesgos que se derivan del tratamiento de los datos personales se analizan en el documento Gestión de Riesgos de Privacidad de LOPD
Considerando estas pautas, esta dirección reitera su más firme compromiso aunando esfuerzos para el logro de estos objetivos, por lo que esta política
es entendida, implantada y tenida al día en todos los niveles de la organización.
Considerando estas pautas, esta dirección reitera su más firme compromiso aunando esfuerzos para el logro de estos objetivos, por lo que esta política es entendida, implantada y tenida al día en todos los niveles de la organización.
Fdo: Almerino Furlan
Presidente
Presidente
MARCO LEGAL: Real Decreto 311/2022 de 3 de mayo, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el ámbito de la Administración Electrónica.
Revisión 2 – Fecha: 22/03/2023