Política de Seguridad de la Información

Política de seguridad de la información

INTRODUCCIÓN

Este documento recoge la Política General de Seguridad de la Información de Wise Security Global, (en adelante WSG), entendida como los principios básicos de actuación y ordenación de WSG en materia de Seguridad de la Información o, también e indistintamente, Ciberseguridad.

El resto de los documentos relacionados con la Seguridad de la Información de WSG estarán alineados con las directrices contenidas en esta Política General de Seguridad de la Información.

1. OBJETIVO

El objetivo de la presente Política General de Seguridad de la Información es establecer un marco normativo en WSG que permita identificar, desarrollar e implantar las medidas técnicas y organizativas necesarias para garantizar la seguridad y protección tanto de la información, privacidad de las personas incluida, como de los sistemas de información que dan soporte a la actividad de WSG.

2. DIFUSIÓN

El presente documento será publicado en el espacio de Sharepoint dispuesto para la distribución del cuerpo normativo de ciberseguridad de WSG y comunicado a todos los sujetos interesados, mencionados anteriormente, en especial al personal interno que maneje los activos de información de WSG.

Así mismo, se realizará una publicación de este documento en el sitio web de WSG https://wisesecurity.com para poder compartirlo con las partes interesadas externas de la organización.

3. POLÍTICA

Ámbito

WSG protege los recursos involucrados en la gestión de la información relacionada con el normal desarrollo de sus funciones, dando cumplimiento a la legislación vigente, preservando la confidencialidad y privacidad de la información y asegurando la disponibilidad, acceso, integridad, calidad, trazabilidad, autenticidad y conservación. Estos objetivos se trasladan también a los sistemas de información utilizados para el desarrollo de su actividad.

Es voluntad de WSG establecer condiciones de confianza en el uso de los medios electrónicos y la prestación continua de sus servicios, adoptando las medidas necesarias destinadas a proteger los sistemas de información de la organización de aquellas amenazas a los que se estén expuestos, con la finalidad de garantizar la seguridad de los sistemas de información, minimizar los riesgos y consolidar así las bases para prevenir, detectar, reaccionar y recuperarse de los posibles incidentes que puedan acaecer.

La presente Política General de Seguridad de la Información se aplica en todo el ámbito de actuación de WSG, es decir:

Todos los recursos, servicios y procesos de negocio que componen WSG. De esta manera se aplicará a todos los sistemas de información que intervienen en la prestación de los servicios y a todos aquellos sistemas de soporte a las diferentes funciones y responsabilidades de WSG.
A todos los usuarios, ya sean internos o externos vinculados, directa o indirectamente, a WSG que hacen uso de los sistemas descritos en el punto anterior.

Objetivos de la Seguridad de la Información

Los objetivos que hay que lograr son:

Garantizar, asegurar e implementar las medidas de seguridad adecuadas y necesarias sobre todos los recursos, procesos, funciones y servicios relacionados directa e indirectamente con usuarios internos y externos, y con clientes, proveedores, partners u otros terceros, con la finalidad de asegurar la disponibilidad, confidencialidad, integridad, autenticidad, trazabilidad de la información, y la conformidad con la legislación aplicable.
Garantizar la continuidad, seguridad y calidad de los servicios ofrecidos.
Implementar y mantener los procesos de mejora continua para favorecer la eficiencia y eficacia de las medidas de seguridad de la información.
Reducir al máximo las posibilidades que produzcan incidentes de seguridad y minimizar el impacto de estos en caso de que se produjeran.
Disponer de los medios por los que los diferentes usuarios de los servicios y procesos de WSG hacen buen uso de la información, sistemas de la información y recursos utilizados en el desarrollo de sus funciones, obligaciones y responsabilidades, así como los que no comprometan la seguridad de la información de WSG.
Alinearse con las mejores prácticas y estándares de ámbito internacional en materia de seguridad de la información y/o ciberseguridad; principalmente, con la serie ISO 27000, ENS, CSF-NIST y COBIT.

De acuerdo con los objetivos citados, la presente Política General de Seguridad de la información busca la adopción de premisas de seguridad, garantizando:

Disponibilidad: la información y sistemas de información pueden ser utilizados en los tiempos y forma requerida.
Confidencialidad: los datos y sistemas de información solamente se accederán por las personas debidamente autorizadas.
Integridad: exactitud de la información y de los sistemas de información contra la alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta.
Autenticidad: inequívoco al asegurar que una persona o entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.
Trazabilidad: cualquier acción o transacción puede ser relacionada inequívocamente al sujeto que lo ha llevado a cabo.
Legalidad: la información se trata de acuerdo con el marco normativo.
Formación: de acuerdo con el principio de seguridad integral, garantizar un adecuado nivel de concienciación y capacitación en materia de seguridad de la información a todo el personal de la organización.
Gestión de incidentes: el análisis y gestión de los riesgos como parte esencial del proceso de seguridad de la organización, manteniendo el entorno controlado y minimizando los riesgos, de acuerdo con las medidas de prevención, detección, reacción y recuperación, y estableciendo protocolos para el intercambio de información relacionada con los incidentes.

Cumplimiento normativo

La presente Política General de Seguridad de la Información y el resto de documentación asociada está alineada con el ámbito jurídico actual de leyes, reglamentos y normativas que sean de aplicación a WSG, respecto a cualquier alcance material (Privacidad y Protección de Datos, Comunicaciones comerciales, Publicidad, Marketing, Cookies, Propiedad Intelectual, etc.) o territorial (País, Unión Europea, etc.)

Aplicación de recursos

La Dirección de WSG manifiesta su compromiso de garantizar, dentro de su ámbito de funciones y responsabilidades, la provisión de recursos necesarios para implementar y mantener los procesos relacionados con la seguridad de la información de WSG y la mejora continua de estos. Todo ello con el fin de conseguir los objetivos estratégicos, la difusión, consolidación y cumplimiento de la presente Política General de Seguridad de la Información, así como también implementar los mecanismos de distribución y publicación adecuados con el objetivo de que esta pueda ser conocida por los diferentes usuarios a los que afecte.

Misión

La misión del Servicio de Ciberseguridad de WSG es la de supervisar y velar por la protección de la Información y las IT de Wise Security Global, de la información de los clientes y los intereses de otras partes interesadas.

Esta protección se realizará ante cualquier amenaza o agresión interna y/o externa potencial, principalmente de tipología ciberataque, adoptando las medidas preventivas y reactivas correspondientes y según el presupuesto disponible. Se fomenta, así, una robusta cultura de la ciberseguridad y de desarrollo y aplicación de un marco normativo específico en esta materia.

Legislación

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual
Real Decreto-ley 2/2018, de 13 de abril, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual.
Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad modificado por el Real Decreto 951/2015, de 23 de octubre.
Artículo 11 del Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad modificado por el Real Decreto 951/2015, de 23 de octubre.
Real Decreto 311/2022, de 3 de mayo por el que se regula el Esquema Nacional de Seguridad de 4 de mayo.
Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

Roles y responsabilidades

Todo usuario afectado por la presente Política tendrá la obligación de:

Cumplir en todo momento con la Política General de Seguridad de la Información, normas, procedimientos e instrucciones de Seguridad de la Información de la Organización.
Tener un papel activo en la ciberseguridad de cualesquiera activos que sean objeto de protección dentro del ámbito de la presente Política.
Mantener el secreto profesional y la confidencialidad respecto de la información de la Organización.
Informar, de acuerdo con el correspondiente procedimiento, de situaciones sospechosas o anomalías, incidentes de seguridad, y no conformidades o incumplimientos de seguridad de los sistemas de información y/o activos de la organización.

La responsabilidad general de la Seguridad de la Información recae en la persona a la que se le asignen las funciones de responsable de Ciberseguridad.

La coordinación de la Seguridad de la Información se canalizará a través de la Función CYBERSEC y el Comité de Ciberseguridad, que es responsable de la implementación de esta Política de Seguridad y de aquellas normas, procedimientos e instrucciones de seguridad que se deriven.

En cuanto al incumplimiento de la Política General de Seguridad de la Información de WSG y el resto de los documentos relacionados con la seguridad de la información, por parte de cualquiera al que le sean de aplicación y que ponga en riesgo la seguridad de la información en cualesquiera de sus dimensiones, la Dirección de WSG se reserva el derecho de iniciar las acciones correspondientes según los códigos y normas internas de comportamiento y el marco legal vigente.

Para el detalle de los roles y responsabilidades que se desarrollan en WSG se puede consultar el documento Organización de la Seguridad de la Información.

Comité de Ciberseguridad

WSG dispone de un Comité de Ciberseguridad, encargado de alinear todas las actividades de la organización en materia de ciberseguridad, destacándose los aspectos de seguridad física y patrimonial (seguridad de las instalaciones), seguridad de la información, Compliance (seguridad y conformidad legal) y planes de contingencia.

Para el detalle en la operativa y estructura del comité, puede consultar el documento Organización de la Seguridad de la Información.

Control de cumplimiento

El grado de aplicación de esta política será medido periódicamente (como mínimo, anualmente) mediante autoevaluaciones coordinadas por el Comité de Ciberseguridad y mediante auditorías internas o externas (como mínimo, bienales), y siempre que se produzcan cambios sustanciales en los sistemas de información de WSG. La aprobación de la presente política se realiza en la Revisión por la Dirección, indicado en el SGSI.

Aprobación y revisión

La Política General de Seguridad de la Información es aprobada formalmente por parte del Comité de Ciberseguridad de WSG, que lo reflejará en la correspondiente acta, y estará vigente hasta que sea reemplazada por una nueva versión. Así mismo, se revisará anualmente y siempre que se produzcan cambios significativos que lo requieran, con el fin de adaptarla a las nuevas circunstancias, técnicas y/u organizativas, evitando que quede obsoleta.

Para estos efectos, regularmente se revisará su idoneidad, oportunidad y precisión. Las modificaciones que puedan derivarse serán propuestas por el Comité de Ciberseguridad para su validación.

4. REFERENCIAS

ISO/IEC 27002:2013 “Information technology – Security techniques – Code of practice for information security management”.
ISO/IEC 27001:2013 “Information technology – Security techniques – Information security management systems – Requirements”.
Reglamento 910/2014, de identificación electrónica y servicios de confianza (eIDAS).
Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad modificado por el Real Decreto 951/2015, de 23 de octubre.