Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Política de Seguridad de la Información y Esquema Nacional de Seguridad
La Dirección de Future Space, consciente de la necesidad de promover, mantener y mejorar el enfoque hacia el cliente en todas sus actividades, ha implantado un Sistema de Gestión Integrado (SGI) conforme al estándar cuyo objetivo final es asegurar que entendemos y compartimos las necesidades y metas de nuestros clientes, intentando prestar servicios que cumplan sus expectativas trabajando en la mejora continua. Manifiesta expresamente su compromiso de potenciar la Seguridad y Ciberseguridad de la Información del servicio prestado, y se compromete a satisfacer las necesidades y expectativas de las partes interesadas, a mantener alta nuestra competitividad en los servicios y productos de Data & Analytics, Ciberinteligencia, Internet of things, Cloud empresarial y Desarrollo de aplicaciones.
Misión y Objetivos:
- Fomentar la mejora continua de los servicios y soporte al cliente.
- Continuar el posicionamiento de Future Space como referente en el sector.
- Proporcionar soluciones de software para transformar los datos y la información para ayudar en la toma de decisiones de nuestros clientes.
- Proporcionar a los clientes el equipo más profesional y disponer de forma inmediata y durante el tiempo necesario de técnicos altamente cualificados, expertos en las disciplinas requeridas y acostumbrados a trabajar en equipo.
- Tener una prestación del servicio basada en nuestro compromiso con la mejora continua de nuestros sistemas, con la seguridad y ciberseguridad de la información como pilar central.
Nuestra misión y objetivos lo conseguiremos a través de:
- Un sistema de objetivos, métricas e indicadores de mejora continua, seguimiento, medición de nuestros procesos internos, así como de la satisfacción de nuestros clientes. Estableciendo y supervisando el cumplimiento de los requisitos contractuales para asegurar un servicio eficaz y seguro.
- Formando y concienciando continuamente a nuestro equipo, teniendo nuestras infraestructuras en un estado adecuado y en concordancia con los requerimientos de nuestros clientes.
- Cumpliendo las exigencias de la legislación vigente, especialmente con el GDPR y el cumplimiento de nuestra Documentación de Seguridad.
- Introduciendo los procesos de mejora continua que permitan un avance permanente en nuestra gestión de Seguridad de la Información.
- Gestionando y elaborando planes para la gestión y tratamiento de los riesgos con una metodología de análisis y gestión de riesgos utilizada, basada en estándares.
- Gestionando las comunicaciones internas y externas.
- Asegurar que nuestros Activos y Servicios cumplen con las medidas del ENS de Nivel ALTO para las dimensiones de Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad.
Así mismo, estos principios se deberán contemplar en las siguientes áreas de seguridad:
- Física: Comprendiendo la seguridad de las dependencias, instalaciones, sistemas hardware, soportes y cualquier activo de naturaleza física que trate o pueda tratar información.
- Lógica: Incluyendo los aspectos de protección de aplicaciones, redes, comunicación electrónica y sistemas informáticos.
- Político-corporativa: Formada por los aspectos de seguridad relativos a la propia organización, a las normas internas, regulaciones y normativa legal.
El objetivo último de la seguridad de la información es asegurar que una organización pueda cumplir sus objetivos utilizando sistemas de información. En las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:
- A) Seguridad integral.
- B) Gestión de riesgos.
- C) Prevención, reacción y recuperación.
- D) Líneas de defensa.
- E) Reevaluación periódica.
- F) Función diferenciada.
Roles o funciones de seguridad
Responsable de la Información:
Determinará los requisitos de la información tratada.
- Implantar y mantener el Sistema de Gestión Integrado (SGI) mejorando continuamente su eficacia.
- Implantar y mantener el ENS mejorando continuamente su eficacia.
- Supervisar los procedimientos y las instrucciones técnicas.
- Aplicar las medidas y seguimientos indicados por el DPO.
- Realizar el seguimiento y verificar la implantación y eficacia de todas las acciones correctoras y preventivas establecidas.
- Asegurar que el sistema implantado cumple con la norma establecida.
- Analizar los datos obtenidos en el Sistema de Gestión Integrado (SGI) y ENS y proponer mejoras.
- Elaborar el plan anual de auditorías internas.
- Participar en la toma de decisiones en la revisión por la dirección.
- Gestión de No Conformidades de seguridad.
- Participar en Auditoria Externas.
- Responsable de los datos privados de la empresa en cuanto a su pérdida, el robo y la desactualización.
- Cumplir con el manual de buenas prácticas de seguridad de la información.
- Imparte los programas de formación para que el personal sepa cómo actuar en el supuesto de que se produzca contingencias.
- Mantener actualizados los medios de contacto con las autoridades.
- Lleva el inventario de soportes que contienen datos de carácter personal.
- Analiza los informes de auditoría y elevan las conclusiones al responsable de los datos.
- Convoca las reuniones del CSI.
- Genera las actas de reunión del CSI.
- Gestiona las no conformidades, acciones correctivas y acciones preventivas de SI.
- Mantiene los documentos del SGI.
- Mantiene y despliega la política de seguridad de Future Space así como el resto de las políticas al personal implicado en cada una de ellas.
- Responsable de la gestión de la auditoría de seguridad de protección de datos y RGPD.
- Supervisa las tareas de LOPD del DPO.
- Confecciona los documentos de seguridad de Future Space.
- Elabora los acuerdos para el tratamiento de datos por terceros.
- Atiende incidencias en materia de protección de datos.
- Se encarga de contactar con las autoridades en caso necesario.
- Aplicación y supervisión del cumplimiento de las políticas del SGI. Mantenimiento y aplicación del Documento de Aplicabilidad del SGI.
Responsable de Sistemas:
Determina los requisitos de los servicios prestados.
- Desarrollar, operar y mantener el Sistema durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
- Definir la topología y política de gestión del Sistema estableciendo los criterios de uso y los servicios disponibles en el mismo.
- Definir la política de conexión o desconexión de equipos y usuarios nuevos en el Sistema.
- Aprobar los cambios que afecten a la seguridad del modo de operación del Sistema.
- Decidir las medidas de seguridad que aplicarán los suministradores de componentes del Sistema durante las etapas de desarrollo, instalación y prueba de este.
- Implantar y controlar las medidas específicas de seguridad del Sistema y cerciorarse de que éstas se integren adecuadamente dentro del marco general de seguridad.
- Determinar la configuración autorizada de hardware y software a utilizar en el Sistema.
- Aprobar toda modificación sustancial de la configuración de cualquier elemento del Sistema.
- Llevar a cabo el preceptivo proceso de análisis y gestión de riesgos en el Sistema.
- Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS.
- Elaborar y aprobar la documentación de seguridad del Sistema.
- Delimitar las responsabilidades de cada entidad involucrada en el mantenimiento, explotación, implantación y supervisión del Sistema.
- Velar por el cumplimiento de las obligaciones del RSI
- Investigar los incidentes de seguridad que afecten al Sistema, y en su caso, comunicación al Responsable de Seguridad o a quién éste determine.
- Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos. Además, el responsable del sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el responsable de seguridad, antes de ser ejecutada.
Responsable de Seguridad de la Información:
Determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
- Responsable de la ciberseguridad.
- Supervisar el Manual de Seguridad, los procedimientos y las instrucciones técnicas.
- Responsabilidad general de administrar la implementación de las prácticas de seguridad.
- Asegurar que el sistema implantado cumple con la norma establecida.
- Analizar los datos obtenidos en el Sistema de Gestión de Seguridad de la Información y ENS y proponer mejoras.
- Participar en la toma de decisiones en la revisión por la dirección.
- Participar en Auditoria Externas.
- Responsable del riesgo de la intrusión física de los dispositivos de la empresa.
- Cumplir con el manual de buenas prácticas de seguridad de la información.
- Segregación de tareas y entornos.
- Comunicar cualquier emergencia de incendio, inundación o avería de los equipos de climatización que pueda activar el PCN.
- Revisa el Plan de Continuidad del negocio.
- Verifica el funcionamiento del Plan de Continuidad de Negocio.
- Controla el acceso de personas a los locales donde están instalados los sistemas.
- Supervisa las incidencias de seguridad producidas.
- Realiza y custodia las copias de seguridad.
- Genera los planes de tratamiento de gestión de riesgo y supervisa su implantación.
- Actualiza el análisis de riesgos.
- Supervisa la recogida de métricas .
- Realiza las revisiones de seguridad del SGI.
- Mantiene el Plan de Continuidad de Negocio.
- Incorpora en el registro de incidencias las medidas correctoras.
- Aplicación y supervisión del cumplimiento de las políticas de SGI.
Responsable del Servicio:
Determina los niveles de seguridad de los servicios.
- Garantizar el cumplimiento de los objetivos y métricas establecidos para el servicio (SLAs).
- Organización diaria de los recursos.
- Responsable de la pérdida y robo de información de los servicios y soluciones informáticas para clientes y usuarios en general.
- Cumplir con el manual de buenas prácticas.
- Determina los requisitos de los servicios prestados.
- Programar, dirigir, coordinar, supervisar y controlar todas las actividades del servicio.
- Revisión y cumplimiento de los informes de los servicio.
Comité de Seguridad de la Información
El Comité de Seguridad de la Información (CSI) de Future Space alcanza a toda la empresa, es el mecanismo de coordinación y resolución de conflictos, entre otras funciones:
- Designación y/o renovación de los cargos de seguridad, así como sus funciones y responsabilidades.
- Crear, planificar, implementar e integrar la dirección estratégica de la organización y alinearla con el SGSI.
- Conocimiento del mercado TIC y nuevas tecnologías y su aplicación en la compañía.
- Dirección y supervisión de los distintos proyectos de seguridad de la compañía.
- Participar y promover el cumplimiento de la política de seguridad de la información de la organización.
- Velar por el cumplimiento de disposiciones legales y normas de las administraciones públicas y de régimen interno relativas a seguridad de la información.
- Aprobación del SGSI, así como sus cambios y nuevas versiones.
Componen el CSI: Presidente, Vicepresidente, Responsable de la Información, Responsable del Servicio y Responsable de Seguridad de la información.
Considerando estas pautas, esta dirección reitera su más firme compromiso aunando esfuerzos para el logro de estos objetivos, por lo que esta política es entendida, implantada y tenida al día en todos los niveles de la organización.
MARCO LEGAL: Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Revisión 1 – Fecha: 07/01/2021