{"id":65,"date":"2022-03-02T10:50:03","date_gmt":"2022-03-02T10:50:03","guid":{"rendered":"http:\/\/www.nunegal.com\/web\/?page_id=65"},"modified":"2023-07-17T12:06:13","modified_gmt":"2023-07-17T12:06:13","slug":"politica-de-seguridad-de-la-informacion","status":"publish","type":"page","link":"https:\/\/www.nunegal.com\/web\/politica-de-seguridad-de-la-informacion\/","title":{"rendered":"Pol\u00edtica de seguridad de la informaci\u00f3n"},"content":{"rendered":"<h2><strong>Pol\u00edtica de seguridad de la informaci\u00f3n Versi\u00f3n 02.00<\/strong><\/h2>\n<p>Elaborado Nunegal Consulting 30\/04\/2020<\/p>\n<p>Validado Nunegal Consulting 30\/04\/2020<\/p>\n<p>Aprobado Nunegal Consulting 30\/04\/2020<\/p>\n<p><strong>CONTROL DE CAMBIOS&nbsp;<\/strong><\/p>\n<p>Versi\u00f3n 1.00:04\/11\/2019.Nunegal Consulting Versi\u00f3n inicial<\/p>\n<p>Versi\u00f3n 1.00:06\/11\/2019.Nunegal Consulting Versi\u00f3n validada<\/p>\n<p>Versi\u00f3n 1.00:08\/11\/2019.Nunegal Consulting Versi\u00f3n aprobada<\/p>\n<p>Versi\u00f3n 2.00:30\/04\/2020.Nunegal Consulting Versi\u00f3n revisada<\/p>\n<p>Veri\u00f3n 2.01: 08\/06\/2020. Nunegal Consulting&nbsp;<a href=\"http:\/\/www.nunegal.com\/web\/index.php\/politica-de-seguridad-de-la-informacion\/\">http:\/\/www.nunegal.com\/web\/index.php\/politica-de-seguridad-de-lainformacion\/<\/a><\/p>\n<p><strong>CONTROL DE DISTRIBUCI\u00d3N (opcional)<\/strong><\/p>\n<p>Distribuido a todos los empleados y al comit\u00e9 de seguridad. 1 por empleado<\/p>\n<h4>1-. Introducci\u00f3n<\/h4>\n<p>NUNEGAL depende de los sistemas TIC (Tecnolog\u00edas de la Informaci\u00f3n y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a da\u00f1os accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la informaci\u00f3n tratada o los servicios prestados. El objetivo de la seguridad de la informaci\u00f3n es garantizar la calidad de la informaci\u00f3n y la prestaci\u00f3n continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes. Los sistemas TIC deben estar protegidos contra amenazas de r\u00e1pida evoluci\u00f3n con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la informaci\u00f3n y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestaci\u00f3n continua de los servicios. Esto implica que NUNEGAL y todo su personal deben aplicar las medidas m\u00ednimas de seguridad exigidas por el Esquema Nacional de Seguridad (Real Decreto 3\/2010), as\u00ed\u0301 como realizar un seguimiento continuo de los niveles de prestaci\u00f3n de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados. NUNEGAL debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepci\u00f3n hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisici\u00f3n y las actividades de explotaci\u00f3n. Los requisitos de seguridad y las necesidades de financiaci\u00f3n deben ser identificados e incluidos en la planificaci\u00f3n, en la solicitud de ofertas, y en pliegos de presentaci\u00f3n para proyectos de TIC. La entidad debe estar preparada para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Art\u00edculo 7 del ENS (Esquema Nacional de Seguridad).<\/p>\n<p><strong>1.1 Prevenci\u00f3n<\/strong><\/p>\n<p>NUNEGAL Consulting debe evitar, o al menos prevenir en la medida de lo posible, que la informaci\u00f3n o los servicios se vean perjudicados por incidentes de seguridad. Para ello implementar\u00e1 las medidas m\u00ednimas de seguridad determinadas por el ENS (Esquema Nacional de Seguridad), as\u00ed\u0301 como cualquier control adicional identificado a trav\u00e9s de una evaluaci\u00f3n de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, van a estar claramente definidos y documentados. Para garantizar el cumplimiento de la pol\u00edtica, NUNEGAL debe:<\/p>\n<ul>\n<li>Autorizar los sistemas antes de entrar en operaci\u00f3n<\/li>\n<li>Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuraci\u00f3n realizados de forma rutinaria<\/li>\n<li>Solicitar la revisi\u00f3n peri\u00f3dica por parte de terceros con el fin de obtener una evaluaci\u00f3n independiente<\/li>\n<\/ul>\n<p><strong>1.2 Detecci\u00f3n<\/strong><\/p>\n<p>Dado que los servicios se pueden degradar r\u00e1pidamente debido a incidentes, que van desde una simple desaceleraci\u00f3n hasta su detenci\u00f3n, los servicios deben monitorizar la operaci\u00f3n de manera continua para detectar anomal\u00edas en los niveles de prestaci\u00f3n de los servicios y actuar en consecuencia seg\u00fan lo establecido en el Art\u00edculo 9 del ENS (Esquema Nacional de Seguridad). La monitorizaci\u00f3n es especialmente relevante cuando se establecen l\u00edneas de defensa de acuerdo con el Art\u00edculo 8 del ENS (Esquema Nacional de Seguridad). Se establecer\u00e1n mecanismos de detecci\u00f3n, an\u00e1lisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviaci\u00f3n significativa de los par\u00e1metros que se hayan preestablecido como normales.<\/p>\n<p><strong>1.3 Respuestas<\/strong><\/p>\n<p>NUNEGAL:<\/p>\n<ul>\n<li>Establece mecanismos para responder eficazmente a los incidentes de seguridad.<\/li>\n<li>Designa punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.<\/li>\n<li>Establece protocolos para el intercambio de informaci\u00f3n relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).<\/li>\n<\/ul>\n<p><strong>1.4 Recuperaci\u00f3n<\/strong><\/p>\n<p>Para garantizar la disponibilidad de los servicios cr\u00edticos, NUNEGAL desarrollar\u00e1 planes de continuidad de los sistemas TIC como parte de su plan general de continuidad del servicio y actividades de recuperaci\u00f3n en aquellos servicios en que sea necesario.<\/p>\n<h2><strong>2 Alcance<\/strong><\/h2>\n<p>Esta pol\u00edtica de seguridad ser\u00e1\u0301 de obligado cumplimiento para todos los miembros de NUNEGAL, siendo aplicable a todos los activos empleados por la misma en la prestaci\u00f3n de los servicios a los clientes, as\u00ed\u0301 como para su propia gesti\u00f3n y funcionamiento.<\/p>\n<h2><strong>3 Marco normativo<\/strong><\/h2>\n<p>El marco normativo en materia de seguridad de la informaci\u00f3n en el que NUNEGAL desarrolla su actividad, esencialmente, es el siguiente:<\/p>\n<ul>\n<li>De \u00e1mbito europeo:\n<ul>\n<li>Reglamento (UE) no 910\/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificaci\u00f3n electr\u00f3nica y los servicios de confianza para las transacciones electr\u00f3nicas del mercado interior (Idas) y normas de ejecuci\u00f3n.<\/li>\n<li>Reglamento (UE) 2016\/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecci\u00f3n de las personas f\u00edsicas en lo que respecta al tratamiento de datos personales y a la libre circulaci\u00f3n de estos datos, y por el que se deroga la Directiva 95\/46\/CE.<\/li>\n<li>Directiva (UE) 2016\/1148 del Parlamento Europeo y el Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel com\u00fan de seguridad de las redes y sistemas de informaci\u00f3n de la Uni\u00f3n Europea.<\/li>\n<li>Directiva (UE) 2016\/2102 del Parlamento Europeo y del Consejo, de 26 de octubre de 2016, sobre accesibilidad de los sitios web y aplicaciones para dispositivos m\u00f3viles de los organismos del sector p\u00fablico y privado.<\/li>\n<\/ul>\n<\/li>\n<li>De \u00e1mbito estatal:\n<ul>\n<li>Ley Org\u00e1nica 15\/1999, de 13 de diciembre, de Protecci\u00f3n de Datos de Car\u00e1cter Personal.<\/li>\n<li>Ley 34\/2002, de 11 de julio, de servicios de la sociedad de la informaci\u00f3n y de comercio electr\u00f3nico.<\/li>\n<li>Ley 59\/2003, de 19 de diciembre, de firma electr\u00f3nica.<\/li>\n<li>Real Decreto 1553\/2005, de 23 de diciembre, por el que se regula la expedici\u00f3n del documento nacional de identidad y sus certificados de firma electr\u00f3nica.<\/li>\n<li>Real Decreto 1720\/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Org\u00e1nica 15\/1999, de 13 de diciembre, de protecci\u00f3n de datos de car\u00e1cter personal.<\/li>\n<li>Real Decreto 1494\/2007, de 12 de noviembre, por el que se aprueba el Reglamento sobre condiciones b\u00e1sicas para el acceso de las personas con discapacidad a las tecnolog\u00edas, productos y servicios relacionados con la sociedad de la informaci\u00f3n y medios de comunicaci\u00f3n social.<\/li>\n<li>Real Decreto 3\/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el \u00e1mbito de la Administraci\u00f3n Electr\u00f3nica.<\/li>\n<li>Real Decreto Legislativo 1\/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.<\/li>\n<\/ul>\n<\/li>\n<li>De \u00e1mbito interno:\n<ul>\n<li>Otras normas que en la actualidad o en el futuro, de car\u00e1cter general o interno, resulten de aplicaci\u00f3n a NUNEGAL en el marco de esta Pol\u00edtica de Seguridad.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h2><strong>4 Organizaci\u00f3n de la seguridad<\/strong><\/h2>\n<p>La implantaci\u00f3n de la Pol\u00edtica de Seguridad en NUNEGAL requiere que todos los miembros de la organizaci\u00f3n entiendan sus obligaciones y responsabilidades en funci\u00f3n del puesto desempe\u00f1ado. Como parte de la Pol\u00edtica de Seguridad de la Informaci\u00f3n, cada rol especifico, personalizado en usuarios concretos, debe entender las implicaciones de sus acciones y las responsabilidades que tiene atribuidas, quedando identificadas y detalladas en esta secci\u00f3n, y que se agrupan del modo siguiente:<\/p>\n<ol>\n<li>Comit\u00e9 de Seguridad de la Informaci\u00f3n.<\/li>\n<li>Responsable de la Informaci\u00f3n.<\/li>\n<li>Responsable del Servicio.<\/li>\n<li>Responsable de Seguridad de la Informaci\u00f3n.<\/li>\n<li>Delegado de Protecci\u00f3n de Datos.<\/li>\n<li>Responsable del Sistema En los siguientes apartados se especifican las funciones atribuidas a cada uno de estos roles.<\/li>\n<\/ol>\n<p><strong>4.1 Comit\u00e9 de Seguridad de la Informaci\u00f3n<\/strong><\/p>\n<p>El Comit\u00e9\u0301 de Seguridad de la Informaci\u00f3n es el \u00f3rgano de gesti\u00f3n interna al que compete la Seguridad de la Informaci\u00f3n en NUNEGAL.<\/p>\n<p>Dicho comit\u00e9\u0301 est\u00e1 compuesto por cada una de las figuras anteriormente mencionadas. El Comit\u00e9\u0301 de Seguridad de la Informaci\u00f3n recabar\u00e1 informaci\u00f3n y auxilio de todas las \u00e1reas de la organizaci\u00f3n cuando as\u00ed\u0301 lo considere necesario. Todas las \u00e1reas, servicios y unidades de NUNEGAL est\u00e1n obligadas a informar y prestar apoyo al Comit\u00e9 de Seguridad de la Informaci\u00f3n cuando \u00e9ste lo requiera. El Comit\u00e9 de Seguridad de la Informaci\u00f3n tiene las siguientes funciones y responsabilidades:<\/p>\n<ul>\n<li>Elaborar la estrategia de evoluci\u00f3n de NUNEGAL en lo que respecta a la seguridad de la informaci\u00f3n. Identificar, revisar y proponer objetivos estrat\u00e9gicos en materia de seguridad de la informaci\u00f3n.<\/li>\n<li>Informar del estado de la seguridad de la informaci\u00f3n a los \u00d3rganos de Direcci\u00f3n de la empresa.<\/li>\n<li>Proponer al Consejo de Gobierno la aprobaci\u00f3n de la pol\u00edtica de seguridad de la informaci\u00f3n.<\/li>\n<li>Proponer al Rector la aprobaci\u00f3n de las modificaciones sobre la pol\u00edtica de seguridad.<\/li>\n<li>Proponer al Director General la aprobaci\u00f3n de las normativas y reglamentos de seguridad relacionados con la aplicaci\u00f3n del ENS (Esquema Nacional de Seguridad).<\/li>\n<li>Proponer las iniciativas principales para mejorar la gesti\u00f3n de la seguridad de la informaci\u00f3n, incluyendo la divulgaci\u00f3n de la pol\u00edtica y normativas de seguridad.<\/li>\n<li>Coordinar la adopci\u00f3n de acciones y medidas encaminadas a la adaptaci\u00f3n de NUNEGAL al Esquema Nacional de Seguridad.<\/li>\n<li>Asegurar la disponibilidad de los recursos necesarios para llevar a cabo los planes de acci\u00f3n relacionados con la seguridad de la informaci\u00f3n o priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.<\/li>\n<li>Proponer la designaci\u00f3n de los responsables encargados de la aplicaci\u00f3n y supervisi\u00f3n de las medidas de seguridad.<\/li>\n<li>Aprobaci\u00f3n de los procedimientos de seguridad de la empresa cuando as\u00ed\u0301 lo solicite el Responsable de Seguridad.<\/li>\n<li>Realizar una revisi\u00f3n anual del contenido de la Pol\u00edtica de Seguridad y una propuesta de actualizaci\u00f3n cuando sea necesario.<\/li>\n<li>Resolver los conflictos entre los diferentes responsables.<\/li>\n<li>Supervisi\u00f3n y aprobaci\u00f3n de las tareas de seguimiento del Esquema Nacional de Seguridad.<\/li>\n<li>Grado de cumplimiento del plan de adecuaci\u00f3n.\n<ul>\n<li>Revisi\u00f3n de los resultados obtenidos en las diferentes actualizaciones del an\u00e1lisis de riesgos y los niveles de riesgo alcanzados.<\/li>\n<li>Resultados de las auditorias bienales que se realicen y otros informes asociados a la idoneidad de los controles de seguridad implantados, identificando las causas origen de las excepciones que pudieran existir y proponiendo acciones de mejora.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>El secretario del Comit\u00e9 de Seguridad de la Informaci\u00f3n ser\u00e1\u0301 el Responsable de Seguridad y tendr\u00e1\u0301 como funciones:<\/p>\n<ul>\n<li>Convocar las reuniones del Comit\u00e9 de Seguridad de la Informaci\u00f3n.<\/li>\n<li>Prepara los temas a tratar en las reuniones del Comit\u00e9\u0301, aportando informaci\u00f3n puntual para la toma de decisiones.<\/li>\n<li>Elabora el acta de las reuniones.<\/li>\n<li>Es responsable de la ejecuci\u00f3n directa o delegada de las decisiones del Comit\u00e9.<\/li>\n<\/ul>\n<p><strong>4.2 Responsable de la Informaci\u00f3n Tiene las siguientes funciones y responsabilidades:<\/strong><\/p>\n<ul>\n<li>Establecer los requisitos de seguridad que deban ser garantizados en el tratamiento de la informaci\u00f3n de la que es responsable.<\/li>\n<li>Valorar para cada informaci\u00f3n contemplada en el an\u00e1lisis de riesgos las diferentes dimensiones de la seguridad (disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad).<\/li>\n<li>Trabajar en colaboraci\u00f3n con el Responsable de Seguridad y el responsable del Sistema en el mantenimiento de los sistemas catalogados seg\u00fan el Anexo I del Esquema Nacional de Seguridad.<\/li>\n<li>Velar por la inclusi\u00f3n de cl\u00e1usulas sobre seguridad en los contratos con terceras partes y por su cumplimiento.<\/li>\n<\/ul>\n<p><strong>4.3 Responsable del Servicio Tiene las siguientes funciones y responsabilidades:<\/strong><\/p>\n<ul>\n<li>Establecer los requisitos de los servicios en materia de seguridad que deban ser garantizados en el tratamiento de la informaci\u00f3n.<\/li>\n<li>Valorar para cada servicio contemplado en el an\u00e1lisis de riesgos las diferentes dimensiones de la seguridad (disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad).<\/li>\n<li>Trabajar en colaboraci\u00f3n con el Responsable de Seguridad y el Responsable del Sistema en el mantenimiento de los sistemas catalogados seg\u00fan el Anexo I del Esquema Nacional de Seguridad.<\/li>\n<\/ul>\n<p><strong>4.4 Responsable de Seguridad de la Informaci\u00f3n<\/strong><\/p>\n<p>Responsable de la definici\u00f3n, coordinaci\u00f3n y verificaci\u00f3n de cumplimiento de los requisitos de seguridad de la informaci\u00f3n definidos de acuerdo con los objetivos estrat\u00e9gicos. Las funciones del Responsable de Seguridad de la Informaci\u00f3n son las siguientes:<\/p>\n<ul>\n<li>&nbsp;Mantener la seguridad de la informaci\u00f3n manejada y de los servicios prestados por los sistemas TIC en el \u00e1mbito de cumplimiento del ENS.<\/li>\n<li>&nbsp;Instar y asesorar en la valoraci\u00f3n de los requisitos de seguridad que deban ser garantizados en el tratamiento de la informaci\u00f3n por parte de los nuevos servicios electr\u00f3nicos prestados por NUNEGAL seg\u00fan el criterio de valoraci\u00f3n establecido por el art\u00edculo 43 del ENS.<\/li>\n<li>Realizar o instar la realizaci\u00f3n de las auditorias peri\u00f3dicas que permitan verificar el cumplimiento de las obligaciones de la empresa en materia de seguridad.<\/li>\n<li>Supervisar el estado de seguridad del sistema.<\/li>\n<li>&nbsp;Apoyar y supervisar la investigaci\u00f3n de los incidentes de seguridad desde su notificaci\u00f3n hasta su resoluci\u00f3n.<\/li>\n<li>Elaborar un informe peri\u00f3dico de seguridad, que incluya los incidentes m\u00e1s relevantes del periodo.<\/li>\n<li>Elaborar la normativa de seguridad.<\/li>\n<li>Promover la formaci\u00f3n y concienciaci\u00f3n del personal de la empresa y en especial, del personal del Servicio Inform\u00e1tico involucrado en las labores de gesti\u00f3n de los sistemas de informaci\u00f3n que dan soporte a los procesos de Administraci\u00f3n Electr\u00f3nica de la empresa.<\/li>\n<li>Verificar que las medidas de seguridad establecidas son adecuadas para la protecci\u00f3n de la informaci\u00f3n manejada y los servicios prestados.<\/li>\n<li>Aprobar los procedimientos de seguridad elaborados por los responsables de los Sistemas cuando en virtud del contenido definido no requieran la revisi\u00f3n y aprobaci\u00f3n del Comit\u00e9 de Seguridad.<\/li>\n<li>Elaborar como secretario del Comit\u00e9 los siguientes informes peri\u00f3dicos:\n<ul>\n<li>Resumen consolidado de las actuaciones llevadas a cabo y en curso dentro del desarrollo del Plan de adecuaci\u00f3n del ENS aprobado.<\/li>\n<li>Resumen consolidado de los incidentes de seguridad registrados desde la \u00faltima reuni\u00f3n del Comit\u00e9.<\/li>\n<li>Valoraci\u00f3n del estado de la seguridad de los sistemas de informaci\u00f3n afectados por el ENS y la evoluci\u00f3n de los niveles de riesgo a los que est\u00e1n expuestos.<\/li>\n<li>Resumen consolidado de los procedimientos de seguridad aprobados por el Responsable de Seguridad desde la \u00faltima reuni\u00f3n del Comit\u00e9.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><strong>4.5 Delegado de Protecci\u00f3n de Datos<\/strong><\/p>\n<p>De acuerdo con lo previsto en el art\u00edculo 39 del RGPD, las funciones del Delegado de Protecci\u00f3n de Datos son las siguientes:<\/p>\n<ul>\n<li>Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protecci\u00f3n de datos de la Uni\u00f3n o de los Estados miembros.<\/li>\n<li>Supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protecci\u00f3n de datos de la Uni\u00f3n o de los Estados miembros y de las pol\u00edticas del responsable o del encargado del tratamiento en materia de protecci\u00f3n de datos personales, incluida la asignaci\u00f3n de responsabilidades, la concienciaci\u00f3n y formaci\u00f3n del personal que participa en las operaciones de tratamiento, y las auditorias correspondientes.<\/li>\n<li>Ofrecer el asesoramiento que se le solicite acerca de la evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos y supervisar su aplicaci\u00f3n.<\/li>\n<li>Cooperar con la autoridad de control.<\/li>\n<li>Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, y realizar consultas, en su caso, sobre cualquier otro asunto.<\/li>\n<li>Desempe\u00f1ar\u00e1 sus funciones prestando la debida atenci\u00f3n a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.<\/li>\n<\/ul>\n<p><strong>4.6 Responsable del Sistema<\/strong><\/p>\n<p>Es responsable de asegurar la ejecuci\u00f3n de medidas para asegurar los activos y servicios de los sistemas de informaci\u00f3n, que soportan la actividad de NUNEGAL, de acuerdo con los objetivos de la empresa. Las funciones del Responsable de Sistemas de la Informaci\u00f3n son las siguientes:<\/p>\n<ul>\n<li>&nbsp;Desarrollar, operar y mantener el Sistema durante todo su ciclo de vida, incluyendo las especificaciones, instalaci\u00f3n y verificaci\u00f3n de su correcto funcionamiento.<\/li>\n<li>Definir la tipolog\u00eda y los procedimientos de gesti\u00f3n del Sistema estableciendo los criterios de uso y los servicios disponibles en el mismo.<\/li>\n<li>Definir la pol\u00edtica de conexi\u00f3n o desconexi\u00f3n de equipos y usuarios nuevos en el Sistema.<\/li>\n<li>Aprobar los cambios que afecten a la seguridad del modo de operaci\u00f3n del Sistema.<\/li>\n<li>Decidir las medidas de seguridad que aplicaran los suministradores de componentes del Sistema durante las etapas de desarrollo, instalaci\u00f3n y prueba del mismo.<\/li>\n<li>Implantar y controlar las medidas espec\u00edficas de seguridad del Sistema y cerciorarse de que estas se integren adecuadamente dentro del marco general de seguridad.<\/li>\n<li>Establecer planes de contingencia y los procesos de an\u00e1lisis y gesti\u00f3n de riesgos en el Sistema.<\/li>\n<li>Determinar la configuraci\u00f3n autorizada de hardware y software a utilizar en el Sistema.<\/li>\n<li>Aprobar toda modificaci\u00f3n sustancial de la configuraci\u00f3n de cualquier elemento del Sistema<\/li>\n<li>Llevar a cabo el preceptivo proceso de an\u00e1lisis y gesti\u00f3n de riesgos en el Sistema.<\/li>\n<li>Determinar la categor\u00eda del sistema seg\u00fan el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse seg\u00fan se describe en el Anexo II del ENS.<\/li>\n<li>Elaborar la documentaci\u00f3n de seguridad del Sistema.<\/li>\n<li>Delimitar las responsabilidades de cada entidad involucrada en el mantenimiento, explotaci\u00f3n, implantaci\u00f3n y supervisi\u00f3n del Sistema.<\/li>\n<li>&nbsp;Investigar los incidentes de seguridad que afecten al Sistema, y en su caso, efectuar la comunicaci\u00f3n al Responsable de Seguridad o a quien este determine.<\/li>\n<\/ul>\n<h2><strong>5 Procedimiento de designaci\u00f3n<\/strong><\/h2>\n<p>Se designan las siguientes responsabilidades:<\/p>\n<ul>\n<li>Responsable de la Informaci\u00f3n: Direcci\u00f3n de Organizaci\u00f3n y RRHH.<\/li>\n<li>Responsable del Servicio: Director de Operaciones \u2013 PMO.<\/li>\n<li>Responsable de Seguridad: designado por el Director General.<\/li>\n<li>Delegado de Protecci\u00f3n de Datos: designado por el Director General.<\/li>\n<li>Responsable del Sistema: designado por el Director General.<\/li>\n<\/ul>\n<p>Los nombramientos se revisar\u00e1n cada dos (2) a\u00f1os o cuando alguno de los puestos quede vacante.<\/p>\n<p>El Responsable de Seguridad de la Informaci\u00f3n ser\u00e1\u0301 nombrado por el Director General a propuesta del Comit\u00e9 de Seguridad TIC.<\/p>\n<h2><strong>6 Revisi\u00f3n de la Pol\u00edtica de Seguridad de la Informaci\u00f3n<\/strong><\/h2>\n<p>Ser\u00e1 misi\u00f3n del Comit\u00e9 de Seguridad de la Informaci\u00f3n la revisi\u00f3n anual de esta Pol\u00edtica de Seguridad de la Informaci\u00f3n y la propuesta de modificaci\u00f3n o mantenimiento de esta. La Pol\u00edtica ser\u00e1\u0301 aprobada por el Rector y difundida para que la conozcan todas las partes afectadas.<\/p>\n<h2><strong>7 Datos de Car\u00e1cter Personal<\/strong><\/h2>\n<p>NUNEGAL trata datos de car\u00e1cter personal.<\/p>\n<p>En aplicaci\u00f3n del principio de responsabilidad proactiva establecido en el Reglamento General de Protecci\u00f3n de Datos, las actividades de tratamiento de datos de car\u00e1cter personal se integrar\u00e1n en la categorizaci\u00f3n de sistemas del Esquema Nacional de Seguridad, considerando las amenazas y riesgos asociados a este tipo de tratamientos.<\/p>\n<p>Se aplicar\u00e1, asimismo, cualquier otra normativa vigente en materia de protecci\u00f3n de datos de car\u00e1cter personal.<\/p>\n<h2><strong>8 Gesti\u00f3n de Riesgos<\/strong><\/h2>\n<p>Todos los sistemas sujetos a esta Pol\u00edtica deber\u00e1n realizar un an\u00e1lisis de riesgos, evaluando las amenazas y los riesgos a los que est\u00e1n expuestos. Este an\u00e1lisis se repetir\u00e1\u0301:<\/p>\n<ul>\n<li>Regularmente, al menos una vez al a\u00f1o.<\/li>\n<li>Cuando cambie la informaci\u00f3n manejada.<\/li>\n<li>Cuando cambien los servicios prestados.<\/li>\n<li>Cuando ocurra un incidente grave de seguridad o cuando se reporten vulnerabilidades graves.<\/li>\n<\/ul>\n<p>Para la armonizaci\u00f3n de los an\u00e1lisis de riesgos, el Comit\u00e9 de Seguridad de la Informaci\u00f3n establecer\u00e1\u0301 una valoraci\u00f3n de referencia para los diferentes tipos de informaci\u00f3n manejados y los diferentes servicios prestados. El Comit\u00e9 de Seguridad de la Informaci\u00f3n dinamizar\u00e1 la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de car\u00e1cter horizontal.<\/p>\n<p>La gesti\u00f3n de riesgos quedar\u00e1 documentada en el informe de An\u00e1lisis y Gesti\u00f3n de riesgos.<\/p>\n<h2><strong>9 Desarrollo de la Pol\u00edtica de Seguridad de la Informaci\u00f3n<\/strong><\/h2>\n<p>Esta pol\u00edtica de seguridad de la Informaci\u00f3n complementa las pol\u00edticas de seguridad de NUNEGAL en materia de protecci\u00f3n de datos de car\u00e1cter personal.<\/p>\n<p>Esta Pol\u00edtica se desarrollar\u00e1 por medio de normativa de seguridad que afronte aspectos espec\u00edficos. La normativa de seguridad estar\u00e1\u0301 a disposici\u00f3n de todos los empleados de la empresa que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de informaci\u00f3n y comunicaciones.<\/p>\n<p>La normativa de seguridad estar\u00e1\u0301 disponible en la URL:<\/p>\n<p><a href=\"http:\/\/www.nunegal.com\/web\/index.php\/politica-de-seguridad-de-la-informacion\/\">http:\/\/www.nunegal.com\/web\/index.php\/politica-de-seguridad-de-lainformacion\/<\/a><\/p>\n<h2><strong>10 Obligaciones del personal<\/strong><\/h2>\n<p>Todos y cada uno de los usuarios de los sistemas de informaci\u00f3n de NUNEGAL son responsables de la seguridad de los activos de informaci\u00f3n mediante un uso correcto de los mismos, siempre de acuerdo con sus atribuciones profesionales y de responsabilidad.<\/p>\n<p>Todos los empleados de NUNEGAL tienen la obligaci\u00f3n de conocer y cumplir esta pol\u00edtica de seguridad de la Informaci\u00f3n y la Normativa de Seguridad, siendo responsabilidad del Comit\u00e9 de Seguridad disponer de los medios necesarios para que la informaci\u00f3n llegue a los afectados.<\/p>\n<p>Los empleados de NUNEGAL recibir\u00e1n formaci\u00f3n en seguridad de la informaci\u00f3n. Se establecer\u00e1\u0301 un programa de concienciaci\u00f3n continua para atender a todos los empleados de NUNEGAL, en particular a los de nueva incorporaci\u00f3n.<\/p>\n<p>Las personas con responsabilidad en el uso, operaci\u00f3n o administraci\u00f3n de sistemas TIC recibir\u00e1n formaci\u00f3n para el manejo seguro de los sistemas, en la medida en que la necesiten para realizar su trabajo. La formaci\u00f3n ser\u00e1\u0301 obligatoria antes de asumir una responsabilidad, tanto si es su primera asignaci\u00f3n o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.<\/p>\n<p>El incumplimiento de la presente Pol\u00edtica de Seguridad de la Informaci\u00f3n podr\u00e1\u0301 acarrear el inicio de las medidas disciplinarias que procedan, sin perjuicio de las responsabilidades legales correspondientes.<\/p>\n<h2><strong>11 Terceras partes<\/strong><\/h2>\n<p>Cuando NUNEGAL preste servicios a otras empresas u organismos o manejen informaci\u00f3n de otras empresas u organismos, se les har\u00e1\u0301 participes de esta Pol\u00edtica de Seguridad de la Informaci\u00f3n, se establecer\u00e1n canales para reporte y coordinaci\u00f3n de los respectivos Comit\u00e9s de Seguridad y se establecer\u00e1n procedimientos de actuaci\u00f3n para la reacci\u00f3n ante incidentes de seguridad.<\/p>\n<p>Cuando NUNEGAL utilice servicios de terceros o cedan informaci\u00f3n a terceros, se les har\u00e1 participes de esta Pol\u00edtica de Seguridad y de la Normativa de Seguridad que ata\u00f1a a dichos servicios o informaci\u00f3n. Dicha tercera parte quedar\u00e1 sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecer\u00e1n procedimientos espec\u00edficos de reporte y resoluci\u00f3n de incidencias. Se garantizar\u00e1 que el personal de terceros est\u00e1 adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Pol\u00edtica.<\/p>\n<p>Cuando alg\u00fan aspecto de la Pol\u00edtica no pueda ser satisfecho por una tercera parte seg\u00fan se requiere en los p\u00e1rrafos anteriores, se requerir\u00e1\u0301 un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerir\u00e1\u0301 la aprobaci\u00f3n de este informe por los responsables de la informaci\u00f3n y los servicios afectados antes de seguir adelante.<\/p>\n<h2><strong>12 Aprobaci\u00f3n y Entrada en Vigor<\/strong><\/h2>\n<p>Mediante Acuerdo del Consejo de Direcci\u00f3n celebrado el 30 de abril de 2020, se aprob\u00f3\u0301 la Pol\u00edtica de Seguridad de la Informaci\u00f3n de NUNEGAL Esta Pol\u00edtica de Seguridad de la Informaci\u00f3n es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Pol\u00edtica. Firmado y sellado, en A Coru\u00f1a a 30 de abril de 2020.<\/p>\n<h2><strong>13 Anexos<\/strong><\/h2>\n<p>A continuaci\u00f3n, se enumeran los diferentes documentos que desarrollan con mayor profundidad las medidas de car\u00e1cter t\u00e9cnico a implementar:<\/p>\n<ul>\n<li>Contrase\u00f1as<\/li>\n<li>Protecci\u00f3n del puesto de trabajo<\/li>\n<li>Uso del correo electr\u00f3nico.<\/li>\n<li>Uso de dispositivos m\u00f3viles no corporativos<\/li>\n<li>Uso de wifi\u2019s y redes externas<\/li>\n<\/ul>\n<p><strong>13.2 Pol\u00edticas para el personal t\u00e9cnico<\/strong><\/p>\n<ul>\n<li>Actualizaciones de software<\/li>\n<li>Almacenamiento en dispositivos extra\u00edbles<\/li>\n<li>Antimalware<\/li>\n<li>Auditor\u00eda de sistemas<\/li>\n<li>Borrado seguro y gesti\u00f3n de soportes<\/li>\n<li>Comercio electr\u00f3nico<\/li>\n<li>Control de accesos<\/li>\n<li>Copias de seguridad<\/li>\n<li>Gesti\u00f3n de log\u2019s<\/li>\n<li>Protecci\u00f3n p\u00e1gina web<\/li>\n<li>Respuesta ante incidentes<\/li>\n<li>Uso de t\u00e9cnicas criptogr\u00e1ficas<\/li>\n<li>Uso de dispositivos m\u00f3viles corporativos<\/li>\n<\/ul>\n<p><strong>13.3 Pol\u00edticas para la empresa Almacenamiento en los equipos de trabajo.<\/strong><\/p>\n<ul>\n<li>Almacenamiento en los equipos de trabajo<\/li>\n<li>Almacenamiento en la nube<\/li>\n<li>Almacenamiento en la red corporativa<\/li>\n<li>Aplicaciones permitidas<\/li>\n<li>Clasificaci\u00f3n de la informaci\u00f3n<\/li>\n<li>Concienciaci\u00f3n y formaci\u00f3n<\/li>\n<li>Continuidad del negocio<\/li>\n<li>Cumplimiento legal<\/li>\n<li>Gesti\u00f3n de recursos humanos<\/li>\n<li>Plan director de seguridad<\/li>\n<li>Relaci\u00f3n con proveedores<\/li>\n<\/ul>\n<p><a href=\"http:\/\/www.nunegal.com\/web\/wp-content\/uploads\/2020\/06\/NUNEGAL-SEG01-RP-01-SEC-VEND_071-01-Pol%C3%ADtica-de-seguridad-de-la-informaci%C3%B3n-v2.01.pdf\">Ver documento original<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pol\u00edtica de seguridad de la informaci\u00f3n Versi\u00f3n 02.00 Elaborado Nunegal Consulting 30\/04\/2020 Validado Nunegal Consulting 30\/04\/2020 Aprobado Nunegal Consulting 30\/04\/2020 CONTROL DE CAMBIOS&nbsp; Versi\u00f3n 1.00:04\/11\/2019.Nunegal Consulting Versi\u00f3n inicial Versi\u00f3n 1.00:06\/11\/2019.Nunegal Consulting Versi\u00f3n validada Versi\u00f3n 1.00:08\/11\/2019.Nunegal Consulting Versi\u00f3n aprobada Versi\u00f3n 2.00:30\/04\/2020.Nunegal Consulting Versi\u00f3n revisada Veri\u00f3n 2.01: 08\/06\/2020. Nunegal Consulting&nbsp;http:\/\/www.nunegal.com\/web\/index.php\/politica-de-seguridad-de-lainformacion\/ CONTROL DE DISTRIBUCI\u00d3N (opcional) Distribuido a todos [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-65","page","type-page","status-publish","hentry"],"aioseo_notices":[],"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.nunegal.com\/web\/wp-json\/wp\/v2\/pages\/65","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.nunegal.com\/web\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.nunegal.com\/web\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.nunegal.com\/web\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.nunegal.com\/web\/wp-json\/wp\/v2\/comments?post=65"}],"version-history":[{"count":3,"href":"https:\/\/www.nunegal.com\/web\/wp-json\/wp\/v2\/pages\/65\/revisions"}],"predecessor-version":[{"id":2744,"href":"https:\/\/www.nunegal.com\/web\/wp-json\/wp\/v2\/pages\/65\/revisions\/2744"}],"wp:attachment":[{"href":"https:\/\/www.nunegal.com\/web\/wp-json\/wp\/v2\/media?parent=65"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}