1. Objetivo

La presente POLÍTICA DE SEGURIDAD (en lo sucesivo la “Política”), inspirada en los principios de “honestidad y confianza” y guiada por los estándares y regulaciones nacionales e internacionales en la materia, establece y regula las disposiciones generales y los principios rectores para la Gestión de la Seguridad de la Información que resultan aplicables a todas las áreas que integran a Grupo Viatek y sus partes interesadas.

Así, el presente documento tiene por objeto definir la política de seguridad de la información aplicada en Grupo Viatek.

2. Ámbito de Aplicación

Esta Política es de obligado cumplimiento para todo el ámbito de Grupo Viatek como también sobre sus empresas colaboradoras (proveedores, subcontratas, etc.) cuando la actividad de éstas afecte a sus activos en el desarrollo de su negocio.

3. Responsabilidades

Roles Responsabilidades
Dirección de Calidad Definir la Política de Seguridad
Revisión de la Política de Seguridad
Dirección Aprobar la Política de Seguridad
Responsable de Seguridad (CISO) Distribuir y Velar por el cumplimiento de la Política de Seguridad

4. Contenido

Grupo Viatek entiende la seguridad como un concepto integral que tiene por finalidad preservar sus activos y proteger sus intereses y objetivos estratégicos, garantizando su confidencialidad e integridad y sustrayéndolos a potenciales acciones que pudieran dañar su valor, mermar su eficacia o afectar a su operatividad preservando la disponibilidad y continuidad de negocio.

4.1 Alcance

Esta Política se aplicará a los sistemas de información de Grupo Viatek que están relacionados con Mantenimiento e Instalaciones de Microinformática, Mantenimiento e Instalaciones de redes eléctricas y de telecomunicaciones y Mantenimiento e Instalaciones de sistemas de seguridad.

4.2 Marco Normativo

La base normativa que afecta al desarrollo de las actividades y competencias de Grupo Viatek en lo que a administración electrónica se refiere, y que implica la implantación de forma explícita de medidas de seguridad en los sistemas de información, está constituida por la siguiente legislación:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Normas ISO 27001 e ISO 27002.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
    garantía de los derechos digitales.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).

4.3 Organización de la Seguridad de la Información

La organización de la Seguridad de la Información en Grupo Viatek queda establecida mediante la identificación y definición de las diferentes actividades y responsabilidades. Estos roles y responsabilidades se definen con detalle en el documento Funciones y Responsabilidades de Seguridad. La responsabilidad del éxito de Grupo Viatek recae, en última instancia, en su Dirección. La
Dirección es responsable de organizar las funciones y responsabilidades, la política de seguridad y de facilitar los recursos adecuados para alcanzar los objetivos propuestos.

La estructura organizativa de seguridad, y jerarquía en el proceso de decisiones la componen:

Roles Funciones
Dirección Deciden la misión y los objetivos de la Organización
Comité de Seguridad de la Información Toman decisiones encaminadas para una adecuada gestión y mejora en seguridad de la información.
Responsable de Seguridad Funciona como supervisor de la operación del sistema y vehículo de reporte a la Dirección.
Delegado de Protección de Datos (DPO) Es el encargado de asesorar y supervisar todos los aspectos relacionados con el tratamiento de datos de carácter personal, incluidos los aspectos de seguridad (integridad, confidencialidad y disponibilidad) y violación de datos personales.Su nombramiento se produce por otra vía ya que sus cometidos no se ciñen únicamente a aspectos de seguridad.
Responsable del Sistema Se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad
Responsable de Servicio e Información El responsable de la información determinará los requisitos de la información tratada
El responsable del servicio determinará los requisitos de los servicios prestados.

4.4 Objetivos de Seguridad

Grupo Viatek establece como objetivos de la seguridad de la información los siguientes:

  • Garantizar que la estrategia de Negocio esté alineada con la seguridad de la información.
  • Cumplir la legislación de seguridad y privacidad.
  • Garantizar la calidad y protección de la información.
  • Garantizar la prestación continuada de los servicios.
  • Lograr la plena concienciación de los usuarios respecto a la seguridad de la información.
  • Implantar la cultura de análisis de riesgos en Grupo Viatek.
  • Realiza una gestión efectiva de los incidentes de seguridad que puedan afectar a los
    servicios e información.

Para lograr el cumplimiento de estos objetivos globales, Grupo Viatek elaborará un documento con los objetivos de seguridad específicos que se actualizarán de forma periódica y deberán reunir las características principales de, ser alcanzables y medibles.

4.5 Descripción de roles y responsabilidades

4.5.1 Dirección

La dirección de Grupo Viatek debe impulsar la seguridad de la información, a través de las siguientes funciones:

  • Dotar de recursos humanos y económicos a la función de seguridad de la información.
  • Velar por el cumplimiento de las políticas, normativas y procedimientos que forman el SGSI corporativo.
  • Aprobar políticas, objetivos, nivel de riesgo residual, etc… y recibir, analizar y actuar en base a los informes anuales de revisión y mejora

4.5.2 Comité de Seguridad de la Información

Las funciones propias del Comité de Seguridad de la Información, que serán las siguientes:

Atender las solicitudes, en materia de Seguridad de la Información, de la organización y de los diferentes roles de seguridad y/o áreas informando regularmente del estado de la Seguridad de la Información.

  • Asesorar en materia de Seguridad de la Información.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes departamentos.

Promover la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello se encargará de:

  • Coordinar los esfuerzos de las diferentes áreas en materia de Seguridad de la Información, para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
  • Proponer planes de mejora de la Seguridad de la Información, con su dotación presupuestaria correspondiente, priorizando las actuaciones en materia de seguridad
    cuando los recursos sean limitados.
  • Velar porque la Seguridad de la Información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
  • Realizar un seguimiento de los principales riesgos residuales asumidos por la organización y recomendar posibles actuaciones respecto de ellos.
  • Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
  • Elaborar y revisar regularmente la Política de Seguridad de la Información para su aprobación por el órgano competente, incluyendo las responsabilidades detalladas en la matriz RACI.
  • Elaborar la normativa de Seguridad de la Información para su aprobación en coordinación con el Dirección General.
  • Verificar los procedimientos de seguridad de la información y demás documentación para su aprobación.
  • Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de Seguridad de la Información y en particular en materia de protección de datos de carácter personal.
  • Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de Seguridad de la Información.
  • Promover la realización de las auditorías periódicas ENS y de protección de datos que permitan verificar el cumplimiento de las obligaciones de la organización en materia de seguridad de la Información.

El Comité de Seguridad de la información está formado por:

  • Representante del Comité de Dirección.
  • Responsable de la Información.
  • Responsable del Servicio.
  • Responsable de Seguridad (CISO).
  • Delegado de Protección de Datos.
  • Responsable del Sistema.

Periodicidad de las reuniones y adopción de acuerdos.

El Comité de Seguridad de la Información se reunirá, al menos, una vez al año, sin perjuicio de que, en atención a las necesidades derivadas del cumplimiento de sus fines y atribuciones, requiera de una mayor frecuencia en las reuniones.

En cualquier caso, las reuniones se convocarán por su Presidencia, a través del Secretario, a su iniciativa o por mayoría de sus miembros permanentes.

4.5.3 Responsable de Seguridad (CISO)

El CISO es el encargado de coordinar y controlar todas las actuaciones, medidas, y procedimientos del SGSI corporativo. Por tanto, debe ser una persona con la experiencia y capacitación para realizar las funciones indicadas.

4.5.3.1 Con carácter general
  • Es el responsable de la definición, coordinación, implantación y verificación de cumplimiento de los requisitos de seguridad de la información definidos de acuerdo a los objetivos estratégicos de la dirección.
  • Es el contacto y representante de la organización en los foros y eventos en la materia (ISMS Fórum, CCN‐CERT, ENISE, etc…), y con las autoridades en caso de actuación delictiva (Brigada de Delitos Tecnológicos), incidente grave (CCN‐CERT) o que pueda afectar a infraestructuras críticas (CNPIC).
  • Elaborar y revisar la documentación, comunicar los cambios que se produzcan sobre la misma, distribuirla y retirar aquella obsoleta.
  • Asesorar en la definición de requisitos, y validar la implantación de los mismos respecto al diseño e implantación de aplicaciones informáticas.
  • Mantenerse informado de los cambios que puedan producirse en las disposiciones legales sobre la materia y proponer a la Dirección las medidas de adecuación a dichos cambios.
  • Diseñar y controlar la aplicación de las medidas de seguridad físicas aplicables sobre centros de proceso de datos y oficinas.
  • Definir la tipología y criticidad de los posibles incidentes de seguridad, y coordinar con sistemas su gestión, realizando posteriormente el correspondiente informe analítico.
  • Aprobar la Declaración de Aplicabilidad a partir de las medidas de seguridad
    requeridas conforme al Anexo II del ENS.
  • Aprobar la Categorización de los sistemas.
  • Elevar al Comité de Seguridad la aprobación de cambios y otros requisitos del sistema.
  • Aprobar los procedimientos de seguridad que forman parte del Mapa Normativo (y no son competencia del Comité) y poner en conocimiento al Comité de las modificaciones que se hayan realizado a lo largo del periodo en curso.
  • Participará en la elaboración, en el marco del Comité de Seguridad de la Información, la Política de Seguridad de la Información, para su aprobación.
  • Proporcionar asesoramiento para la determinación de la categoría del sistema en colaboración con el Responsable del Sistema y/o Comité de Seguridad de la
    Información.
4.5.3.2 Proveedores
  • Velar por la existencia de un listado actualizado de proveedores con rol de ‘encargados de tratamiento’ y/o ‘acceso a datos’.
  • Velar por la firma de los acuerdos de confidencialidad y/o o clausulado de privacidad y protección de información sensible, mediante su inclusión en la documentación correspondiente (ofertas, contratos, etc…).
  • Realizar las auditorias que considere necesarias para verificar el cumplimiento por parte de terceros de acordado y firmado en materia de seguridad de la información.
4.5.3.3 Personal

Velar por la correcta definición y documentación de las funciones y obligaciones en la materia de cada usuario o rol.

  • Elaborar y remitir el boletín de seguridad periódico.
  • Impartir formación a través de un plan anual para que el personal conozca las normas de seguridad que le afectan en el desarrollo de su trabajo.
  • Promover la formación y concienciación en materia de seguridad de la información.
4.5.3.4 Negocio
  • Elaborar los planes de seguridad requeridos por los clientes/licitaciones a las que se concurse.
  • Asesorar en materia de seguridad de la información a las diferentes áreas operativas de la compañía.
  • Gestionar periódicamente pruebas de continuidad de negocio, y formar parte del comité de crisis en caso de contingencia grave.
4.5.3.4 Revisión & Mejora del SGSI
  • Realizar las auditorías internas del SGSI, y representar a la organización en las externas.
  • Realización de análisis periódicos de riesgo, y aprobación de umbrales residuales y planes de tratamiento asociados.
  • Elaborar los informes de revisión para la dirección.
  • Elaborar y ejecutar los planes de acciones correctivas y de mejora.
  • Gestión del cuadro de mando de seguridad.
  • Elaborar los informes de revisión para la dirección.
4.5.3.4 Medidas Técnicas
  • Dispositivos móviles: encargado del registro de asignación y firma de condiciones de uso, y coordinación con sistemas respecto a la aplicación de los perfiles de seguridad sobre los dispositivos.
  • Adoptar las medidas necesarias para que exista una relación actualizada de los usuarios con acceso a los sistemas de información y establecer los procedimientos de identificación y autenticación para dicho acceso, y los mecanismos necesarios para evitar que un usuario pueda acceder a datos o recursos distintos a los autorizados.
  • Autorizar la salida de soportes de las instalaciones y/ entorno corporativo que contengan datos sensibles.
  • Coordinar y velar por el análisis de vulnerabilidades y parcheo de las mismas.
  • Debe estar informado y autorizar los cambios que puedan suponer algún riesgo para la disponibilidad de los servicios, y realizar estudios analíticos de capacidad para los nuevos desarrollos, en base a la previsión de necesidades de procesamiento, almacenamiento, ancho de banda, etc…
  • Asegurar la realización de auditorías de seguridad previas a la puesta en producción de aplicaciones, y fijar las directrices y requisitos a auditar, incluyendo la posible aceptación de vulnerabilidades no críticas.
  • Solicitar a terceros o autoridades de manera precisa y detallada los análisis forenses que sean necesarias para acreditar posibles actuaciones judiciales, y responsabilizarse del cumplimiento del procedimiento de cadena de custodia.

4.5.4 Responsable de la Información

Al Responsable de la Información se le atribuyen las siguientes funciones:

  • Establecer y aprobar los requisitos de seguridad aplicables a la información dentro del marco establecido en el anexo I del Real Decreto 311/2022, de 3 de mayo y las guías CCN‐STIC del CCN, previa propuesta del Responsable de Seguridad.
  • Aceptar los niveles de riesgo residual que afecten a la Información

4.5.5 Responsable del servicio

Al Responsable del Servicio se le atribuyen las siguientes funciones:

  • Establecer y aprobar los requisitos de seguridad aplicables al servicio dentro del marco establecido en el anexo I del Real Decreto 311/2022, de 3 de mayo y las guías CCN‐STIC del CCN, previa propuesta del Responsable de Seguridad y/o Comité de
    Seguridad de la Información.
  • Aceptar los niveles de riesgo residual que afecten al Servicio.

4.5.6 Responsable del sistema

El Responsable de Sistemas realizará las siguientes funciones:

  • Paralizar o dar suspensión al acceso a información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.
  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida.
  • Elaborar los procedimientos operativos necesarios.
  • Definir la topología y la gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
  • Prestar al Responsable de Seguridad y/o el Comité de Seguridad asesoramiento para la determinación de la Categoría del Sistema.
  • Colaborar, si así se le requiere, en la elaboración e implantación de los planes de mejora de la seguridad y, llegado el caso, en los planes de continuidad.
  • Llevar a cabo las funciones del administrador de la seguridad del sistema:
    • La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad.
    • La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la
      actividad desarrollada en el sistema y su correspondencia con lo autorizado.
    • Aprobar los cambios en la configuración vigente del Sistema de Información.
    • Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
    • Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información.
    • Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
    • Monitorizar el estado de seguridad proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.

4.5.7 Delegado de Protección de Datos (DPD)

El Reglamento General de Protección de datos (RGPD), en los artículos 37 al 39, detalla los requisitos y funciones de este rol:

  • Tendrán que ser profesionales que puedan acreditar formación y conocimientos especializados en materia de protección de datos.
  • Sus funciones básicamente serán asegurar el cumplimiento normativo de la
    protección de datos, haciendo compatible el funcionamiento de la  organización, la consecución de los objetivos lícitos y legítimos de su actividad y la garantía del derecho a la protección de datos y la seguridad de la información.
  • El DPO puede establecerse a través de contratación externa o mediante  designación dentro de la plantilla de la organización.
  • El DPO será el interlocutor necesario con la Autoridad de Control de la protección de Datos.

Respecto a las funciones a desempeñar destaca las indicadas en el RGPD:

  • Informar y asesorar al responsable y/o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales de las obligaciones que les incumben en virtud del Reglamento y otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  • Supervisar el cumplimiento de lo dispuesto en el Reglamento, en otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se le pida acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización.
  • Cooperar y actuar de contacto con la autoridad de control, en este caso la Agencia de Protección de Datos para las cuestiones relacionadas con el tratamiento de datos personales incluidas la consulta previa, y consultar en su caso, sobre cualquier otro asunto.

4.5.8 Administrador de Sistemas, aplicaciones y redes

Son los encargados de gestionar el entorno operativo/tecnológico:

  • Implantar las medidas técnicas necesarias para proteger el acceso no autorizado a los sistemas de información.
  • Debe existir segregación de tareas, y por ello, en la medida de lo posible, las personas que trabajen en entornos de desarrollo serán diferentes que las que operen entornos de producción.
  • Implantar las medidas técnicas para el cifrado de contraseñas, claves criptográficos, bases de datos, y cualquier otro elemento de información acordado por el CISO/Dirección.
  • Realizar y restringir el acceso a las copias de seguridad, y llevar a cabo las restauraciones correspondientes conforme establezca el  procedimiento vigente en la materia.
  • Dar de alta, baja y/o modificar las identidades y  permisos de los usuarios conforme establezca el procedimiento vigente en la materia.
  • Gestionar y monitorizar la red corporativa.
  • Aplicar las directrices correspondientes al inicio de sesión, contraseñas, inhabilitación de cuentas por  inactividad, desconexión de sesiones, etc…
  • Mantener actualizado el antivirus.
  • Verificar el funcionamiento de los sistemas de protección frente a incendios, grupos electrógenos, aire acondicionado, sistemas de alimentación ininterrumpida, etc…en los centro de proceso de datos.
  • Configurar los servidores, equipos y dispositivos móviles de acuerdo a las recomendaciones de seguridad, e instalar los parches necesarios en base a las vulnerabilidades detectadas.
  • Poner en marcha la operativa de servicio en el centro de respaldo a instancias del CISO/Dirección.
  • Facilitar al CISO los listados actualizados de usuarios dados de alta en los sistemas de información y los correspondientes permisos de acceso para su revisión.
  • Encargarse del tratamiento de las incidencias de seguridad en base a los procedimientos de resolución correspondientes.
  • Avisar de inmediato al DPD y CISO en caso de detectar accesos no autorizados o sospechosos a sistemas de información considerados sensibles.
  • Mantener actualizado el inventario de activos asociados a los sistemas de información (CMDB) y el mantenimiento de los mismos.

4.5.9 Segregación de funciones

Las tareas conflictivas deben de ser segregadas o separadas a fin de reducir el riesgo y oportunidades de modificaciones o usos incorrectos, intencionados o no intencionados, de los activos de Grupo Viatek. La segregación de funciones es el método empleado para reducir dicho riesgo.

Es necesario asegurar que ninguna persona puede acceder, modificar o usar activos de Grupo Viatek sin previa autorización o detección. La iniciación de un evento debe estar separada de su autorización. Es importante tener en cuenta la posibilidad de este tipo de conflictos a la hora de diseñar los controles. En aquellos casos en los que la implementación de una segregación de funciones comporte una gran dificultad, podrán implementarse métodos alternativos como la monitorización de las actividades, el empleo de pistas de auditoría o la supervisión de la gestión de los activos.

4.5.10 Matriz RACI, Flujos de Comunicación en el SGSI

Actividad \ Matriz RACI Dirección RSINFO-RSERV CISO DPD RSISTEMAS
Política de seguridad A I R I I
Niveles de seguridad requeridos por la información A R C C
Niveles de seguridad requeridos por el servicio A R C
Determinación de la categoría el sistema I A I I
Clasificación de la información C R C I I
Análisis de riesgos A I R C C
Aceptación del Riesgo Residual I A C C I
Cuadro de mando I I R I C
Declaración de aplicabilidad I I A I C
Revisión y mejora del SGSI A I R C C
Planes de conciencación y formación A I R RC I
Configuración de seguridad, acceso a la información I I C I R
Relación con proveedores A I R R C
Normativa de seguridad, Definición I A C C
Normativa de seguridad, Aplicación I I C I R
Procedimientos de seguridad, Definición I I R I C
Procedimientos de seguridad, Aplicación I I C I R
Implantación de las medidas de seguridad I I C C R
Supervisión de las medidas de seguridad I I R RC C
Planes de mejora de la seguridad I I R C C
Planes de continuidad R R C I C
Estado del sistema I AR C R

R. - Es responsable de la realización de la tarea señalada.
A. ‐ Es responsable de aprobar la tarea a realizar, haciéndose responsable de la misma.
C. ‐ Es consultado y participa en el trabajo.
I. ‐ Es informado sobre el proceso y sus resultados.

4.6 Designación y resolución de conflictos

La creación del Comité de Seguridad de la Información, el nombramiento de sus integrantes y la designación de los Responsables identificados en esta Política, se realizará a través de un acta de constitución inicial.

Los roles nombrados se renovarán anualmente de forma automática. Las bajas o modificaciones en los roles designados se comunicarán al Comité y se seguirán los cauces establecidos para la designación del nuevo responsable.

Tal y como se regula en el artículo 13.3 del RD del ENS, se estipula que no puede existir dependencia jerárquica entre el RSEG y el RSIS, salvo excepciones justificadas, lo que conllevará a disponer de medidas compensatorias para garantizar la finalizad del principio de diferenciación de responsabilidades.

4.7 Cumplimiento de los principios básicos y los requisitos mínimos de seguridad

Grupo Viatek para lograr el cumplimiento del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, que recoge los principios básicos y de los requisitos mínimos, ha implementado diversas medidas de seguridad proporcionales a la naturaleza de la información y los servicios a proteger y teniendo en cuenta la categoría de los sistemas afectados.

4.7.1 Organización e implantación del proceso de seguridad, mínimo privilegio y diferenciación de responsabilidades

Grupo Viatek se ha organizado su seguridad comprometiendo a todos los miembros de la corporación mediante la designación de diferentes roles de seguridad con responsabilidades claramente diferenciadas, tal y como se recoge en el apartado del presente documento.

La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales, jurídicos y organizativos, relacionados con el sistema. La aplicación del Esquema Nacional de Seguridad a Grupo Viatek estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.
Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para evitar que, la ignorancia, la falta de organización y coordinación, o de instrucciones inadecuadas, constituyan fuentes de riesgo para la seguridad. Los sistemas de información deben diseñarse y configurarse otorgando los mínimos privilegios
necesarios para su correcto desempeño, lo que implica incorporar los siguientes aspectos:

  1. El sistema proporcionará la funcionalidad imprescindible para que Grupo Viatek alcance sus objetivos competenciales o contractuales.
  2. Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son desarrolladas por las personas autorizadas, desde emplazamientos o equipos asimismo autorizados; pudiendo exigirse, en su caso, restricciones de horario y puntos de acceso facultados.
  3. En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que sean innecesarias o inadecuadas al fin que se persigue. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.
  4. Se aplicarán guías de configuración de seguridad para las diferentes tecnologías, adaptadas a la categorización del sistema, al efecto de eliminar o desactivar las funciones que sean innecesarias o  inadecuadas.

4.7.2 Gestión de la seguridad basada en los riesgos, análisis y gestión de riesgos

El análisis y la gestión de los riesgos será parte esencial del proceso de seguridad y será una actividad continua y permanentemente actualizada.
La gestión de los riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos a niveles aceptables. La reducción a estos niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza de la información tratada, de los servicios a prestar y de los riesgos a los que estén expuestos.
Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II, se empleará alguna metodología reconocida internacionalmente. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.

4.7.3 Gestión de personal y profesionalidad

Todo el personal, propio o ajeno relacionado con los sistemas de información de Grupo Viatek dentro del ámbito del ENS, serán formados e informados de sus deberes, obligaciones y responsabilidades en materia de seguridad. Su actuación será supervisada para verificar que se siguen los procedimientos establecidos.
El significado y alcance del uso seguro del sistema se concretará y plasmará en unas normas de seguridad que serán aprobadas por la dirección o el órgano superior correspondiente. De igual modo, se determinarán los requisitos de formación y experiencia necesaria del personal para el desarrollo de su puesto de trabajo.
La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
De manera objetiva y no discriminatoria se exigirá que las organizaciones que nos proporcionan servicios cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez de los servicios prestados.

4.7.4 Autorización y control de los accesos

Grupo Viatek ha implementado mecanismos de control de acceso al sistema de información, limitándolo a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, y exclusivamente a las funciones permitidas.

4.7.5 Protección de las instalaciones

Grupo Viatek ha implementado mecanismos de control de acceso físico, previniendo los accesos físicos no autorizados, así como los daños a la información y a los recursos, mediante perímetros de seguridad, controles físicos y protecciones generales en áreas.

4.7.6 Adquisición de productos de seguridad y contratación de servicios de seguridad

Para la adquisición de productos o contratación de servicios de seguridad Grupo Viatek tendrá en cuenta la utilización de forma proporcionada a la categoría del sistema y el nivel de seguridad determinado, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
Para la contratación de servicios de seguridad se atenderá a lo señalado en cuanto a la profesionalidad.

4.7.7 Vigilancia continua, reevaluación periódica e Integridad, actualización del sistema y mejora continua del proceso de seguridad

La vigilancia continua por parte de Grupo Viatek de permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta.
La evaluación permanente del estado de la seguridad de los activos permitirá medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración. Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia
a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.
La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa.
La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo a las deficiencias de configuración, las vulnerabilidades identificadas y las actualizaciones que les afecten, así como la detección temprana de cualquier incidente que
tenga lugar sobre los mismos.
El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a la gestión de la seguridad de las tecnologías de la información.

4.7.8 Protección de la información almacenada y en tránsito y continuidad de la actividad

Grupo Viatek prestará especial atención a la información almacenada o en tránsito a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, que deberán analizarse especialmente para lograr una adecuada protección.
Se aplicarán procedimientos que garanticen la recuperación y conservación a largo plazo de los documentos electrónicos producidos por los sistemas de información comprendidos en el ámbito de aplicación de este real decreto, cuando ello sea exigible.
Toda información en soporte no electrónico que haya sido causa o consecuencia directa de la información electrónica a la que se refiere este real decreto, deberá estar protegida con el mismo grado de seguridad que ésta. Para ello, se aplicarán las medidas que correspondan a la naturaleza del soporte, de conformidad con las normas que resulten de aplicación.
Los sistemas dispondrán de copias de seguridad y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.

4.7.9 Existencia de líneas de defensa y prevención ante otros sistemas de información interconectados

Grupo Viatek ha implementado una estrategia de protección del sistema de información constituida por múltiples capas de seguridad, constituidas por medidas organizativas, físicas y lógicas, de tal forma que cuando una capa ha sido comprometida permita desarrollar una reacción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que el sistema sea comprometido en su conjunto y minimizar el impacto final sobre el mismo.
Se protegerá el perímetro del sistema de información, especialmente, cuando el sistema de Grupo Viatek se conecta a redes públicas, tal y como se definen en la legislación vigente en materia de telecomunicaciones, reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad.
En todo caso, se analizarán los riesgos derivados de la interconexión del sistema con otros sistemas y se controlará su punto de unión.
Para la adecuada interconexión entre sistemas se estará a lo dispuesto en la Instrucción Técnica de Seguridad correspondiente.

4.7.10 Registro de actividad y detección de código dañino

Grupo Viatek con el propósito de satisfacer el objeto de este real decreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, registrará las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

Al objeto de preservar la seguridad de los sistemas de información, garantizando la rigurosa observancia de los principios de actuación de las Administraciones públicas, y de conformidad con lo dispuesto en el Reglamento General de Protección de Datos y el respeto a los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación allí enunciados, Grupo Viatek podrá, en la medida estrictamente necesaria y proporcionada, analizar las comunicaciones entrantes o salientes, y únicamente para los fines de seguridad de la información, de forma que sea posible impedir el acceso no autorizado a las redes y sistemas de información, detener los ataques de denegación de servicio, evitar la distribución malintencionada de código dañino así como otros daños a las antedichas redes y sistemas de información.

Para corregir o, en su caso, exigir responsabilidades, cada usuario que acceda al sistema de información deberá estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado una determinada
actividad.

4.7.11 Incidentes de seguridad, prevención, detección, reacción y recuperación

Grupo Viatek dispone de procedimientos de gestión de incidentes de seguridad acuerdo con mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los cauces de comunicación a las partes interesadas.
La seguridad del sistema contemplará las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la
información que maneja o a los servicios que presta.
Las medidas de prevención podrán incorporar componentes orientados a la disuasión o a la reducción de la superficie de exposición, deben eliminar o reducir la posibilidad de que las amenazas lleguen a materializarse.
Las medidas de detección irán dirigidas a descubrir la presencia de un ciberincidente.
Las medidas de respuesta se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad.
El sistema de información garantizará la conservación de los datos e información en soporte electrónico.
De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.
Se definen una Normativa y Procedimiento de Gestión de Incidentes para detallar las actividades relacionadas.

4.7.12 Infraestructuras y servicios comunes

Grupo Viatek tendrá en cuenta que la utilización de infraestructuras y servicios comunes de las administraciones públicas, incluidos los compartidos o transversales, facilitará el cumplimiento de lo dispuesto en el real decreto.

4.8 Estructura Documental

A continuación, se indica cómo queda estructurado el cuerpo documental del Sistema de
Gestión de Seguridad de la Información:

1º Política, 2º Normativa, 3º Procedimientos, 4º Instrucciones, Registros, etc.
Documento Detalles
Políticas • Son directrices que deben ser captada por todos los miembros de la empresa.
• Están especificadas las normas y responsabilidades de cada trabajador.
• Son alineamientos que deben ser seguidas antes de tomar alguna decisión.
• Se pueden implementar en el logro de los objetivos de la empresa como estrategias.
• Deben ser dictadas por un nivel jerárquico.
• Se dividen en Políticas Generales y Políticas Específicas.
Normativas • Conjunto de normas, reglas, o leyes como agrupación de todas aquellas normas que son o pueden ser aplicables en una materia específica.
• Agrupación de todas aquellas normas que son o pueden ser aplicables en una compañía.
• Permiten la regulación de las actividades empresariales dentro de un marco legal y ético.
• Deben ser respetadas por todos aquellos sujetos hacia los cuales va dirigida, como empleados de la compañía, o como servicios externos a la operación de la misma.
• Facilita la cooperación entre todos los empleados de la compañía, así como respecto de los servicios externos, proveedores y clientes.
Procedimiento • Son planes por medio de los cuales se establece un método para el manejo de actividades futuras.
• Son secuencias cronológicas de las acciones requeridas.
• Son guías de acción, no de pensamiento, en las que se detalla la manera exacta en que deben realizarse ciertas actividades.
Instrucciones,
Registros, etc.
• Documentos de propósito general para la operación de las unidades organizativas de Grupo Viatek.
• Documentación empresarial involucrada en los procesos y transacciones de comercialización.
• Documentos de gestión de la actividad comercial.

4.9 Concienciación y Formación

Se potenciará la concienciación y formación de las personas que intervienen en el proceso de seguridad de Grupo Viatek con el objeto de minimizar el riesgo operacional para la seguridad de los sistemas.

Así mismo, Grupo Viatek está comprometida con la formación y concienciación en materia de seguridad de la información de todo su personal, materializándose a través de:

  • La información al empleado de sus derechos, deberes y obligaciones en materia de seguridad.
  • De la capacitación y concienciación en materia de seguridad mediante el fomento del plan corporativo de formación a empleados y la formación continua a través de píldoras informativas que permitan al empleado conocer los riesgos a los que pueda estar expuesto.

4.10 Terceras Partes

Cuando se presten servicios o se gestione información de otras organizaciones, se les hará partícipe de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación. Además, se establecerán procedimientos de actuación para la reacción ante
incidentes de seguridad.

Cuando se utilicen servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.

Se establecerán procedimientos específicos de reporte y resolución de incidencias.

Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

4.11 Datos de Carácter Personal

El Registro de Actividades del Tratamiento detalla los tratamientos afectados y los responsables correspondientes, así como las medidas adoptadas derivadas de las evaluaciones de impacto realizadas sobre los tratamientos. Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Actividades del Tratamiento.

Grupo Viatek tomará en cuenta las recomendaciones del Departamento Jurídico y establecerá las medidas de seguridad de los tratamientos de datos para cumplir con la legislación aplicable en materia de protección de datos.

Las medidas establecidas para tratar un incidente de protección de datos se establecerán en el documento Procedimiento Criterios Actuación ante la Vulneración de Seguridad de Protección De Datos.

4.12 Revisión y Aprobación de la Política de Seguridad

La Política de Seguridad de la Información será revisada por el Comité de Seguridad a intervalos planificados, que no podrán exceder el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

Los cambios sobre la Política de Seguridad de la Información deberán ser aprobados por la Dirección.

Cualquier cambio sobre la misma deberá ser difundido a todas las partes afectadas.

4.13 Contacto con las autoridades

Se deben mantener los contactos apropiados con las autoridades relevantes. Grupo Viatek debe contar con procedimientos que especifiquen cuándo y con qué autoridades contactar (por ejemplo, policía, bomberos, asociaciones profesionales, etc.), y cómo se deberían reportar los incidentes de Seguridad de la Información de una manera oportuna si se sospecha que se ha incumplido alguna legislación o regulación. En caso de que Grupo Viatek sea víctima de un ataque desde Internet se puede necesitar que entidades externas (por ejemplo, un proveedor del servicio, un operador de telecomunicaciones o las autoridades pertinentes) inicien acciones contra la fuente de ataque. El tratamiento de los incidentes de seguridad, o la continuidad del negocio y sus procesos de contingencia podrán requerir el mantenimiento continuo de estos contactos. El contacto permanente con los organismos reguladores es igualmente útil para poder anticipar y prepararse ante cambios en leyes o regulaciones que afecten a la Seguridad de la Información.

4.14 Contacto grupo de interés

Se deben mantener contactos con los grupos de interés apropiados y con foros de seguridad especializados y asociaciones profesionales. Se debería considerar pertenecer a grupos de interés especial como un medio para:

  • Mejorar el conocimiento sobre las mejores prácticas y mantenerse al día conociendo la información relevante en materia de Seguridad de la Información.
  • Asegurar que el entendimiento del ambiente de Seguridad de la Información sea actualizado y completo.
  • Recibir advertencias tempranas de alertas, asesorías y avisos relacionados con ataques y  vulnerabilidades.
  • Compartir e intercambiar información sobre tecnologías, productos, amenazas o vulnerabilidades