© 2018 - 2025 Codisys

.

Politica de Seguridad de Información

Politica de Seguridad de Información

Politica de Seguridad de Información

1. Aprobación y entrada en vigor.

Texto aprobado el día 27 de enero de 2025 por el Comité de Seguridad.

Esta POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

2. Procedimiento de revisión.

Será misión del Comité de Seguridad la revisión anual de esta POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN y la propuesta de revisión o mantenimiento de la misma.

Si procediera la elaboración y propuesta de una modificación y/o actualización, la Política será aprobada y difundida por el Comité de Seguridad para que la conozcan todas las partes afectadas.

3. Introducción.

DISTRIBUCIÓN DE SISTEMAS Y CONSULTING INFORMÁTICO, S.L., con nombre comercial CODISYS depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC están protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso imprevisto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto se logra aplicando las medidas de seguridad exigidas por el R.D. 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad y sus guías de desarrollo CCN-STIC, así como otras normativas de carácter internacional (ISO 27001 de Seguridad de la información, ciberseguridad y protección de la privacidad) y demás normativa aplicable, además de realizando un seguimiento continuo de los niveles de prestación de servicios, siguiendo y analizando las vulnerabilidades reportadas, y preparando una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

CODISYS se cerciora de que la seguridad TIC es una parte íntegra de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación son identificados e incluidos en la planificación, en la solicitud de ofertas y en los contratos para proyectos TIC.

CODISYS está preparada para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el art. 8 del ENS y el Anexo A de la ISO 27001.


3.1. Prevención

CODISYS vela activamente por evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello la organización implementa las medidas de seguridad determinadas por el ENS y la ISO 27001, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal están claramente definidos y documentados.

Para garantizar el cumplimiento de la política, CODISYS lleva a cabo las siguientes acciones:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.


3.2. Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, éstos monitorizan la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el art. 9 del ENS y Anexo A de la ISO 27001.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el art.8 del ENS y el Anexo A de la ISO 27001. Se establecen mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan establecido como normales.


3.3 Respuesta

CODISYS lleva a cabo las siguientes medidas:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar un punto de contacto (POC) para las comunicaciones con respecto a incidentes detectados.
  • Establecer protocolos para el intercambio de información relacionada con el incidente.

3.4 Recuperación

Para garantizar la disponibilidad de los servicios críticos, CODISYS desarrolla planes de continuidad de los sistemas TIC como parte de su plan general de continuidad del negocio y actividades de recuperación.

4. Objetivos

CODISYS ha establecido un marco de gestión de la seguridad de la información según lo establecido por el Real Decreto 311/2022 (ENS) y la norma ISO 27001, reconociendo así como activos estratégicos la información y los sistemas que la soportan.

Uno de los objetivos fundamentales de la implantación de este marco de referencia es el asentar las bases sobre las cuales los trabajadores de CODISYS y sus clientes puedan acceder a los servicios en un entorno de gestión seguro, anticipándonos a sus necesidades, y preservando sus derechos.

La POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN es el instrumento en que se apoyan los recursos de CODISYS para alcanzar sus objetivos utilizando de forma segura los sistemas de información y las comunicaciones.

La POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN identifica responsabilidades y establece principios y directrices para una protección apropiada y consistente de los servicios y activos de información gestionados por medio de las Tecnologías de la Información y de las Comunicaciones (TIC).

El objetivo es lograr una protección, proporcional al riesgo, de la información tratada por CODISYS, y de los sistemas, dispositivos y elementos que soportan los servicios y procesos de tratamiento, mediante la preservación de las dimensiones de seguridad de la información, es decir, su autenticidad, confidencialidad, integridad, disponibilidad, trazabilidad y conservación.

5. Alcance

Esta Política será de aplicación y de obligado cumplimiento para todos los empleados de CODISYS; así como a sus recursos y procesos afectados por el ENS y la ISO 27001:2022, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.

6. Misión

CODISYS da servicio a sus clientes asegurando la efectividad de sus derechos y la continua mejora de los procedimientos, servicios y prestaciones de acuerdo con las políticas fijadas por la organización. Asimismo, en CODISYS se tienen en cuenta los recursos disponibles, determinando de esta manera las prestaciones que proporcionan los servicios ofrecidos, sus contenidos y los correspondientes estándares de calidad.

CODISYS se organiza y actúa con pleno respeto al principio de legalidad y de acuerdo con los principios de jerarquía, descentralización funcional, desconcentración, coordinación, eficacia en el cumplimiento de los objetivos fijados, eficiencia en la asignación y utilización de los recursos disponibles, transparencia, responsabilidad por la gestión y servicio efectivo a sus clientes.

La organización viene a ejercer sus competencias propias bajo su propia responsabilidad, debiendo atender siempre a la más eficaz coordinación con sus clientes. Para ejercer sus competencias, CODISYS hace uso de sistemas de información que son protegidos de una forma efectiva y eficiente.

7. Marco normativo


7.1 Normativa europea

  • Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).


7.2 Normativa estatal

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
  • Ley 11/2022, de 28 de junio, General de Telecomunicaciones.
  • Ley 5/2014, de 4 de abril, de Seguridad Privada.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
  • Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.
  • Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 311/2022, de 3 de mayo por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Real Decreto de 24 de julio de 1889 por el que se publica el Código Civil.


7.3 Estándares internacionales

  • ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos.
  • ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información


8. Política de Gestión

La Dirección de CODISYS acuerda que el desarrollo de las actividades de la compañía y la consecución de los objetivos estratégicos requiere garantizar, en todo momento, el cumplimiento de los niveles establecidos de seguridad de la información, en todas sus dimensiones y de manera integral, para sus activos de información. Al mismo tiempo, requiere demostrar también su capacidad para proporcionar las soluciones y servicios propios de forma coherente, así como para gestionar eficientemente los servicios de seguridad de la información y ciberseguridad que ofrece a sus clientes.

Con esta finalidad, se ha desarrollado e implantado el SGSI que establece el marco de referencia para tratar de forma segura los activos de la compañía, y que garantiza la confianza y satisfacción de los clientes mediante la integración de una metodología de prestación de servicios eficiente.

El compromiso de CODISYS en cuanto a la gestión de la seguridad de la información y objetivo de la siguiente política es el siguiente:

  • Hacer patente el compromiso de la Dirección con el SGSI, con la gestión de la seguridad de la información, tanto propia como la de sus clientes, reflejado en la firma y difusión de la presente política.
  • Garantizar que se integran los requisitos del SGSI en los procesos de negocio de la compañía.
  • Asegurar el acceso, integridad, confidencialidad, disponibilidad, autenticidad y trazabilidad de la información, y la prestación continuada de los servicios de CODISYS, actuando preventivamente, supervisando la actividad diaria y reaccionando con rapidez a los incidentes.
  • Disponer de las medidas de control necesarias para el cumplimiento de los requisitos de seguridad y legales que sean de aplicación como consecuencia de la actividad desarrollada.
  • Asegurar que se establecen los objetivos de la seguridad de la información, y que éstos son compatibles con el contexto y la dirección estratégica de la compañía.
  • Definir, desarrollar y poner en funcionamiento los controles necesarios promoviendo el uso del enfoque a procesos y el pensamiento basado en riesgos para garantizar el cumplimiento, en todo momento, de los niveles de riesgo aprobados por la compañía.
  • Asegurar que se toman las acciones pertinentes para la clasificación e inventariado de activos de información.
  • Establecer una estructura clara para el marco de políticas, estándares y procedimientos en materia de seguridad de la información a ser desarrollados en la organización.
  • Identificar y asignar los roles y responsabilidades que surgen en relación con la seguridad de la información en la organización.
  • Establecer planes de comunicación que garanticen la comunicación y coordinación eficientes, tanto en una situación normal como en una situación de contingencia que active el Plan de Continuidad del Negocio.
  • Proteger los recursos de información y a la tecnología utilizada para su procesamiento, frente a amenazas internas o externas, deliberadas o accidentales, derivadas de los activos o del contexto, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información, y garantizar de forma adecuada la continuidad del negocio, incluso en situaciones adversas, teniendo en cuenta todas las áreas, proveedores y servicios críticos. Los servicios críticos se recuperarán dentro de los márgenes de tiempo aceptables.
  • Cumplir en todo momento la legislación vigente, además de las normas y especificaciones particulares aplicables a los servicios prestados por la compañía y orientadas a la satisfacción del cliente, especialmente en lo relativo a la protección de datos de carácter personal.
  • Crear una cultura de gestión integrada de los sistemas de información, tanto internamente, a todo el personal, como externamente a los clientes y proveedores.
  • Comprometer, dirigir y apoyar al personal desde la Dirección con el fin de contribuir a la eficacia del SGSI, asegurar la disponibilidad de los recursos necesarios para el mismo, así como apoyar a otros roles pertinentes de la dirección en la forma en la que aplique el sistema de gestión en sus áreas de responsabilidad.
  • Garantizar la protección y seguridad del personal, tanto en situación normal como en situación de contingencia.
  • Facilitar la colaboración con las autoridades en caso de desastre o necesidad.
  • Tratar la gestión de la seguridad de la información como un proceso de mejora continua.
  • Mantener la confianza y satisfacción de los clientes.
  • Garantizar la resiliencia de la organización y sus sistemas de información frente al cambio climático o desastres naturales.

En este sentido, todas las exenciones y excepciones al cumplimiento de esta política o a cualquiera de los documentos que integran el SGSI deberán estar suficientemente motivadas y aprobadas de forma previa y expresa por el Responsable de Seguridad y/o Dirección, siendo preceptivo que se estime la imprescindibilidad de dicho proceso, acción o elemento, y la inexistencia de alternativas viables a éste.

9. Liderazgo y compromiso

La dirección de CODISYS demuestra su liderazgo y compromiso respecto al Sistema de Gestión de Seguridad de la Información (SGSI):

Garantizando que la POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN y normativas de seguridad de CODISYS, así como los objetivos de ésta se han establecido y son compatibles con la dirección estratégica de la compañía;

Velando por que los recursos necesarios para el SGSI estén disponibles;

  • Comunicando la importancia de una gestión eficaz del sistema y de satisfacer los requisitos del sistema;
  • Asegurando que el SGSI alcanza sus resultados previstos;
  • Dirigiendo y apoyando a las personas a contribuir a la eficacia del SGSI;
  • Promoviendo la mejora continua; y
  • Apoyando otras funciones de gestión pertinentes para demostrar su liderazgo aplicable a sus áreas de responsabilidad.

10. Organización de la seguridad

La organización de la seguridad de CODISYS queda establecida mediante la identificación y definición de las diferentes actividades y responsabilidades en la materia, y la implantación de la infraestructura que las soporte. Para ello, cuenta con los siguientes roles y órganos:

  • Comité de Seguridad.
  • Responsable de Seguridad.
  • Responsable del Sistema.
  • Responsable del Servicio.
  • Responsable de la Información.

Con carácter general, todos y cada uno de los usuarios de los sistemas de información de CODISYS son responsables de la seguridad de los activos de información mediante un uso adecuado de los mismos, siempre de acuerdo con sus atribuciones profesionales y académicas.

11. Datos de carácter personal

CODISYS, en el desarrollo de sus funciones, requiere hacer uso de datos de carácter personal. Por ello, se garantizarán los derechos y libertades de los interesados, así como la seguridad de la información, de las comunicaciones y de los sistemas de información que soportan los tratamientos de acuerdo con las medidas previstas en la legislación vigente.

Para lograr las necesarias garantías se realizarán todas las acciones pertinentes de las siguientes:

  • La realización de análisis de riesgos sobre los tratamientos, y evaluaciones del impacto en la privacidad cuando sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de los afectados.
  • El diseño e implantación de medidas técnicas y organizativas para mitigar los riesgos relativos a los tratamientos de datos de carácter personal por defecto y desde el diseño.
  • El rediseño de los procesos para mitigar los riesgos que no puedan mitigarse y asumirse.
  • La elaboración de toda la documentación necesaria para soportar los procesos y garantizar los derechos y libertades de los afectados, cumpliendo con los principios establecidos por la normativa vigente.
  • El traslado de las obligaciones a todo el personal que tenga acceso a los datos de carácter personal.
  • La gestión de las relaciones con encargados de tratamiento con base en unos criterios establecidos, incluyendo la regulación a través de contratos que formalicen las obligaciones y los requisitos de seguridad.
  • El mantenimiento de un registro de actividades de tratamiento.
  • La información en los plazos requeridos, en base a las disposiciones de las leyes aplicables, a la correspondiente autoridad competente de protección de datos de lo siguiente:
    • Los tratamientos o ficheros en uso.
    • Los resultados de las evaluaciones de impacto realizadas.
    • Las transferencias internacionales fuera de la Unión Europea (UE) que se vayan a llevar a cabo.
  • El nombramiento y datos de contacto de la figura de Delegado de Protección de Datos (DPD), si resultara necesario de acuerdo con la legalidad vigente.
  • La información por capas sobre los tratamientos a los afectados por los mismos, de forma concisa, transparente, inteligible y de fácil acceso.
  • La recogida del consentimiento de los afectados de forma expresa e inequívoca, y previamente al inicio de los tratamientos y/o establecimiento de cesiones.
  • La notificación a los afectados de violaciones de seguridad que supongan un alto riesgo contra sus derechos y libertades, dentro de las 72h siguientes a su detección.
    • Las violaciones de seguridad que conlleven una probabilidad de riesgo contra los derechos y libertades de los interesados, dentro de las 72h siguientes a su detección.
    • Cualquier otra información que sea requerida por una ley o por indicaciones de la citada autoridad competente de protección de datos.

12. Enfoque en la gestión de riesgos

El SGSI está enfocado en la correcta gestión del riesgo, de forma que ésta permita tomar decisiones informadas del entorno, para proteger así los activos de CODISYS y minimizar posibles daños, sean de la índole que sean. Para ello, se realiza un análisis de riesgos sobre todos los sistemas sujetos a esta Política, evaluando las amenazas y los riesgos a los que están expuestos. Se sigue la metodología MAGERIT (metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica que estima que la gestión de los riesgos es una piedra angular en las guías de buen gobierno), asegurando así que sea fiable y se obtengan unos resultados medibles, comparables y reproducibles:

  • MAGERIT- Versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I – Método.
  • MAGERIT- Versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro II – Catálogo de Elementos.
  • MAGERIT- Versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro III – Guía de Técnicas.

Para mayor detalle, consúltese el siguiente enlace:

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html

Puesto que la gestión del riesgo es un proceso continuo, este análisis, así como la revisión de efectividad de las medidas de mitigación, se repetirá:

  • Regularmente, al menos una vez al año.
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

13. Desarrollo de la política de seguridad de la información

Esta POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN se desarrolla por medio de normativas de seguridad que afronten aspectos específicos de CODISYS. Dichas normativas están disponibles para todos los miembros de la organización que necesitan conocerla, en particular para aquellos que utilizan, operan o administran los sistemas de información y comunicaciones de la organización.

Asimismo, se cuenta con los siguientes instrumentos de desarrollo:

  • Políticas de seguridad: Uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de los usuarios. Son de carácter obligatorio.
  • Normativas de seguridad: Tienen carácter obligatorio y buscan que los usuarios a apliquen correctamente las medidas de seguridad, proporcionando razonamientos en los casos en los que no existan procedimientos precisos. Ayudan a prevenir que se pasen por alto aspectos importantes de seguridad que pueden materializarse de varias formas.
  • Procedimientos de seguridad: Afrontan tareas concretas, indicando lo que hay que hacer, paso a paso, de los diferentes procesos.
  • Instrucciones técnicas: Guías técnicas.

Dichas políticas y procedimientos que abordan, entre otras, las siguientes materias:

  • Análisis y gestión de riesgos.
  • Gestión de riesgos de terceros o proveedores.
  • Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
  • Gestión del personal y profesionalidad.
  • Adquisición de productos o servicios de seguridad.
  • Detección y gestión de incidentes.
  • Planes de recuperación y aseguramiento de la continuidad de las operaciones.
  • Mejora continua.
  • Interconexión de sistemas.
  • Registros de actividad.

Todos ellos se comunicarán a través de medios corporativos a todos aquellos interesados que, por las especificades de sus funciones, necesiten conocerlos.

14. Obligaciones del personal

Todos los empleados de CODISYS tienen la obligación de conocer y cumplir esta POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN y las normativas de seguridad que la desarrollan, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Todos los empleados de CODISYS atienden a una sesión de concienciación en materia de seguridad al menos una vez al año. Se establece un programa de concienciación continua para atender a todos ellos, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC reciben formación para el manejo seguro de los sistemas en la medida en que la necesitan para realizar su trabajo. La formación es obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

15. Formación y concienciación

CODISYS lleva a cabo actividades de formación y concienciación para que el personal sea plenamente consciente de su responsabilidad con la seguridad de la información que afecta a todas las actividades y miembros de la organización, así como tengan una sensibilidad hacia los riesgos que se corren.

Con el objetivo de lograr la plena conciencia respecto a que la seguridad de la información afecta a todos los miembros de CODISYS, y a todas las actividades, de acuerdo con el principio de Seguridad Integral recogido en el Artículo 5 del ENS, así como la articulación de los medios necesarios para que todas las personas que intervienen en el proceso y sus responsables tengan una sensibilidad hacia los riesgos que se corren.

16. Terceras partes

Cuando CODISYS preste servicios a otros organismos o maneje información de éstos, se les hace partícipes de esta POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN, así como del resto de políticas de seguridad y normativas aplicables, se establecen canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecen procedimientos de actuación para la reacción ante incidentes de seguridad.

Dicha tercera parte queda sujeta a las obligaciones establecidas en dichas políticas y normativas, pudiendo desarrollar sus propios procedimientos operativos para satisfacerlas. Se establecen procedimientos específicos de reporte y resolución de incidencias. Se garantiza que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no puede ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requiere un informe del Responsable de Seguridad que precisa los riesgos en que se incurre y la forma de tratarlos. Se requiere la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

17. Control de acceso

El acceso al sistema de información de CODISYS está controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, tal y como se detalla en las normativas de seguridad y procedimientos relacionados. Estos accesos están debidamente autorizados, restringiendo el acceso a las funciones permitidas.

18. Protección de las instalaciones

Los sistemas de CODISYS se instalan en áreas separadas, dotadas de un procedimiento y medidas de control de acceso, tal y como se detalla en las normativas de seguridad y procedimientos relacionados.

19. Adquisición de productos

CODISYS utiliza productos de seguridad de las tecnologías de la información y comunicaciones que tengan certificada la funcionalidad de seguridad relacionada con el objeto de la adquisición, o garanticen su seguridad de manera análoga. Esta certificación estará de acuerdo con las normas y estándares de mayor reconocimiento internacional en el ámbito de la seguridad funcional.

Esta exigencia se realiza de forma proporcionada a la categoría del sistema y nivel de seguridad de CODISYS. Existirá una excepción en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del Responsable de Seguridad.

20. Seguridad por defecto

Los sistemas de CODISYS se diseñan y configuran de forma que garanticen la seguridad por defecto:

  • Se retiren cuentas y contraseñas estándar.
  • Se aplica la regla de «mínima funcionalidad»:
    • El sistema debe proporcionar la funcionalidad requerida para que la organización alcance sus objetivos y ninguna otra funcionalidad,
    • No proporciona funciones gratuitas, ni de operación, ni de administración, ni de auditoría, reduciendo de esta forma su perímetro al mínimo imprescindible.
    • Se elimina o desactiva mediante el control de la configuración, aquellas funciones que no sean de interés no sean necesarias, e incluso, aquellas que sean inadecuadas al fin que se persigue.
  • Se aplica la regla de «seguridad por defecto»:
    • Las medidas de seguridad son respetuosas con el usuario y protegen a éste, salvo que se exponga conscientemente a un riesgo.
    • Para reducir la seguridad, el usuario tiene que realizar acciones conscientes.
    • El uso natural, en los casos que el usuario no ha consultado el manual, será un uso seguro.
  • El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

21. Integridad y actualización del sistema

En CODISYS todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema, tal y como se detalla en las normativas de seguridad. Asimismo, el estado de seguridad de los sistemas de CODISYS, en relación con las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, es monitorizado y conocido en todo momento, reaccionando con diligencia a la hora de gestionar el riesgo según el estado de seguridad de los mismos.

22. Protección de la información almacenada y en tránsito

En CODISYS se aplican procedimientos para la gestión segura de soportes de almacenamiento de acuerdo con la política de seguridad.

Se aplicará la debida diligencia y control a los soportes de información que permanecen bajo la responsabilidad de la organización, mediante las siguientes actuaciones:

  • Garantizando el control de acceso con medidas físicas, lógicas o ambas.
  • Garantizando que se respetan las exigencias de mantenimiento del fabricante, en especial, en lo referente a temperatura, humedad y otros agresores medioambientales, además:
    • Se aplican mecanismos criptográficos que garanticen la confidencialidad y la integridad de la información contenida.
    • Se emplean algoritmos acreditados por el Centro Criptológico Nacional.
    • Se emplean, preferentemente, productos certificados.
    • Solo se utilizan unidades y medios extraíbles en caso de existir una necesidad de negocio para hacerlo.
    • Se prohíbe el almacenamiento de Datos de Carácter Personal en soportes y dispositivos ópticos (cd, DVD, etc.) y flash USB (discos duros externos, pen drives, etc.) no autorizados.
    • El contenido de los medios reutilizables es borrado de manera segura, de manera que no permite su recuperación, previamente a ser reutilizados.
    • Borrado seguro mediante software.
    • Cuando sea necesario podrá requerirse la autorización para la extracción de soportes fuera de las instalaciones de CODISYS.
    • Los soportes son almacenados en un ambiente seguro de acuerdo con las especificaciones del fabricante.
    • Con objeto de mitigar el riesgo de pérdida de datos, se respetan los plazos de vida de los medios de almacenamiento, mediante la transferencia de los datos a un soporte nuevo que permita garantizar los periodos de retención.

Se presta especial atención a la información almacenada o en tránsito a través de entornos inseguros, tales como equipos portátiles, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.

CODISYS evita de manera proactiva, mediante la realización de copias de seguridad, la pérdida de información, tal y como se detalla en las normativas de seguridad y procedimientos relacionados.

Por otro lado, toda información en soporte no electrónico está protegida bajo llave con el mismo grado de seguridad que en soporte electrónico.

23. Prevención ante otros sistemas de información interconectados

CODISYS analiza los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y lo controla y monitoriza a través de su punto de unión, tal y como se indica en las normativas de seguridad y procedimientos relacionados.

24. Proceso de autorizaciones

Las responsabilidades relativas a la seguridad de la información se encuentran descritas documentalmente y son asignadas a personas específicas por parte de la Dirección, que disponen de la capacitación que permite que desarrollen su función eficazmente y de un proceso formal para autorizaciones respecto a los sistemas de información.

Se requerirá, en función del tipo de componente o actuación, la autorización de los siguientes roles:

TIPO DE CAMBIO

AUTORIZADOR

Actividad de Negocio

CEO

Proyecto / Servicio

Resp. de Servicio

Elemento Tecnológico

Resp. Seguridad
  • Los elementos sujetos al proceso de autorización serán como mínimo:
  • Instalaciones habituales y alternativas
  • Entrada de equipos en producción
  • Entrada de aplicaciones en producción
  • Establecimiento de enlaces de comunicación
  • Utilización de medios telemáticos de comunicación
  • Utilización de soportes
  • Utilización de equipos móviles
  • Utilización de servicios de terceros, bajo contrato o convenio
  • Todos aquellos cambios que puedan suponer riesgo a la seguridad de la información de CODISYS o de sus clientes.

25. Registro de actividad

CODISYS registra las actividades de los usuarios, así como de los administradores del sistema, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

Asimismo, se protegen los sistemas de registro y los registros en sí de manipulaciones indebidas y accesos no autorizados.

Todo ello se recoge con detalle en las normativas de seguridad y en los procedimientos relacionados.

26. Incidentes de seguridad

CODISYS dispone de un sistema de detección y reacción frente a código dañino, garantizando un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información, incluidos los de comunicación de eventos, vulnerabilidades y debilidades de seguridad. Se dispone de procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de información de la organización.

Estos procedimientos cubren los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas, el registro de las actuaciones y el aprendizaje resultante, con el fin de emplearlo para la mejora continua de la seguridad del sistema.

27. Continuidad de la actividad

CODISYS evita de manera proactiva la indisponibilidad de su servicio. Para ello, cuenta con políticas y procedimientos específicos dedicados a garantizar la continuidad. Asimismo, dispone de las herramientas y medidas técnicas de seguridad necesarias que garantizan la continuidad de las operaciones.

28. Mejora continua del proceso de seguridad

El proceso integral de seguridad implantado en CODISYS será actualizado y mejorado de forma continua. Los procesos de ingeniería se actualizan frecuentemente para garantizar la mejora continua de los procesos de seguridad aplicados y adecuarse a nuevas amenazas potenciales.

29. Estructuración de la documentación de seguridad del sistema

Se cuenta con procedimientos específicos con el objetivo de establecer el procedimiento de control documental del SGSI implantado en CODISYS. En éstos se especifica la estructura del SGSI, se describe los apartados de éste y la nomenclatura empleada para codificarlos. Asimismo, se cuenta con procedimientos para la gestión de cambios.

LA DIRECCIÓN

En Madrid, a 27 de enero de 2025