Saltar al contenido principal
Solicita una demo
Política de Seguridad

Política de Seguridad

POLÍTICA

Seguridad de la Información

1. CONTEXTO

La información constituye para la práctica totalidad de los procesos de negocio de MAPAL SOFTWARE, S.L (en adelante, MAPAL), el hilo conductor imprescindible para la ejecución de estos con garantías de eficiencia y calidad, alcanzando, con ello, el cumplimiento de los objetivos estratégicos formalmente establecidos por la Dirección.

Las dimensiones principales de la seguridad de la información que deben ser garantizadas en la ejecución de cualquier proceso de negocio son:

  • Confidencialidad: Garantiza que la información solo se encuentre accesible a personas, entidades o procesos autorizados.
  • Integridad: Garantiza que la información es generada, modificada y eliminada solo por personas, entidades o procesos autorizados.
  • Disponibilidad: Garantiza que la información se encuentre accesible cuando las personas, entidades o procesos autorizados lo precisen.
  • Trazabilidad: Garantiza que la información relativa a los accesos y actividad ejecutada por personas, entidades o procesos se encuentra disponible para cualquier análisis de patrones de comportamiento anómalos que deba ser efectuado.

Por otro lado, se presentan otras dimensiones de seguridad, tales como la autenticación de las partes o el no repudio que, de igual forma, deben ser garantizadas cuando el valor de seguridad de la información en el contexto del proceso de negocio en el que esté siendo almacenada, procesada, o transmitida, así lo precise.

La Política de Seguridad de la Información se basa en la adopción de principios claros y bien definidos que aseguren el cumplimiento de las directrices estratégicas, los requerimientos legales, así como los de carácter contractual formalizados con terceros o stakeholders y, por tanto, se constituye como el instrumento principal en el que se apoya MAPAL para la utilización segura de las tecnologías de la información y comunicaciones.

La normativa (estándar, procedimientos e instrucciones de seguridad) que emane o se derive de la Política de Seguridad de la Información de MAPAL pasará a formar parte de esta una vez haya sido divulgada, siendo de obligado cumplimiento para la totalidad de los empleados y terceras partes que hagan uso de la información propiedad de MAPAL.

La Dirección de MAPAL asegurará que esta Política de Seguridad de la Información es entendida e implantada en toda la organización, facilitando los recursos necesarios para la consecución de los objetivos definidos en este marco de actuación.

2. OJETIVOS

La Política de Seguridad de la Información queda establecida como el documento de alto nivel que formaliza las distintas directrices de actuación en materia de seguridad adoptadas por MAPAL, y que serán desarrolladas en mayor detalle en la correspondiente normativa de seguridad elaborada a tales efectos.

Bajo esta premisa, por tanto, la Política de Seguridad de la Información contempla los siguientes objetivos principales:

  • Dar cumplimiento a la normativa legal de aplicación en el ámbito de la seguridad de la información.
  • Contribuir a cumplir con la misión y objetivos estratégicos formalizados por MAPAL.
  • Alinear la seguridad de la información como activo principal con los requerimientos demandados por el negocio mediante la formalización del modelo de valor de la información y la ejecución del proceso de análisis y evaluación de los riesgos a los que se encuentran expuestos los distintos activos de información, alcanzando la definición de una estrategia para la mitigación de los riesgos relacionados con el entorno de la seguridad de la información.
  • Garantizar la protección adecuada de los distintos activos de información en función del grado de sensibilidad y criticidad alcanzado por los mismos (valor de seguridad de los activos de información según las distintas dimensiones consideradas con la aplicación del criterio de herencia y el principio de proporcionalidad).
  • Garantizar una capacidad de respuesta eficaz a eventuales incidentes de seguridad de la información, minimizando el respectivo impacto operacional, financiero y reputacional.
  • Facilitar el dimensionamiento de los recursos necesarios para la correcta implantación de las medidas de seguridad de índole técnica y organizativa recogidas en la normativa de seguridad documentada a tales efectos.
  • Fomentar el uso de buenas prácticas en materia de seguridad de la información, así como crear la cultura de seguridad pertinente en el contexto de la estructura organizativa de MAPAL.
  • Establecer los mecanismos de revisión, monitorización, auditoría y mejora continua con el objeto de mantener los niveles de seguridad oportunos demandados por el modelo de negocio de MAPAL.

3. ALCANCE

La Política de Seguridad de la Información contempla en su alcance la totalidad de los activos de información existentes en MAPAL y que actúan como infraestructura de soporte para la posible ejecución de los procesos de negocio.

4. MARCO NORMATIVO

La formalización de la Política de Seguridad de la Información, así como la normativa de seguridad que se derive de la misma, tendrá en consideración e integrará la siguiente normativa legal aplicable:

  • Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, RGPD – Reglamento General de Protección de Datos), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Ley Orgánica, 3/2018, de 5 de diciembre de 2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, Ley 3/2018).
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante, LSSICE).

5. PRINCIPIOS

Los principios fundamentales que deben contemplarse a la hora de garantizar las dimensiones de la seguridad de la información son la prevención, detección, respuesta y recuperación, de manera que las potenciales amenazas existentes no se materialicen o, en caso de materializarse, no afecten gravemente a la información precisa para la ejecución de los procesos de negocio de MAPAL, manteniéndose en unos niveles aceptables con relación al impacto causado que han sido formalizados por la Dirección.

5.1. PREVENCIÓN

Como principio primario de seguridad, MAPAL debe prevenir, y evitar, en la medida de lo posible, que la información de negocio se vea afectada por incidentes de seguridad. Para ello, se debe priorizar las medidas de seguridad de naturaleza preventiva en la estrategia de implantación considerada tras la ejecución del proceso de análisis y evaluación de los riesgos. Estos controles, así como los roles y responsabilidades formalizados en materia de seguridad con el objeto de alcanzar su debida implantación deben estar claramente definidos y documentados.

5.2. DETECCIÓN

Dado que, inevitablemente, con independencia de la formalización de una estrategia preventiva de seguridad, los activos de información pueden verse afectados por la materialización de amenazas de seguridad (incidentes de seguridad), se considera fundamental monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.

Esta monitorización es especialmente relevante cuando se establecen líneas de defensa en los términos considerados por las buenas prácticas de referencia en materia de seguridad de la información y, por tanto, actúan como mecanismos de alerta temprana.

En el supuesto de que la degradación sea atribuida directamente a incidentes de seguridad deberán establecerse los mecanismos oportunos de reporte que permitan la notificación al Responsable de Seguridad para su análisis e investigación de la causa raíz de forma conjunta con los equipos de respuesta a incidentes.

5.3. RESPUESTA

Se deben establecer mecanismos para responder eficazmente a los incidentes de seguridad. Así, en función de la tipología de incidente acaecido, se deberá formalizar el plan de respuesta oportuno.

5.4. RECUPERACIÓN

Con el objeto de garantizar la continuidad de los procesos críticos, para los cuales, en determinados casos, no podrá aplicarse planes de respuesta a incidentes, se deben desarrollar planes de contingencia como parte del plan general de continuidad de negocio y actividades de recuperación de la organización.

6. ENFOQUE DE RIESGOS

Los activos de información que conforman el alcance de la presente Política de Seguridad de la Información se encuentran sujetos a un análisis y evaluación de riesgos, con el objeto de identificar las potenciales amenazas a las que se encuentran expuestos, evaluar el impacto asociado a la posible materialización de tales amenazas, y determinar las situaciones de riesgos que podrían derivarse.

El resultado de este análisis y evaluación de riesgos permitirá la identificación y proposición de las medidas de seguridad oportunas como estrategia para la mitigación de estos.

El Comité de Seguridad de la Información liderará la ejecución periódica del análisis de riesgos, planificando los recursos técnicos, humanos y económicos necesarios a tales efectos.

7. ESTRUCTURA

La normativa de seguridad establecida por MAPAL se estructura en los siguientes niveles relacionados jerárquicamente:

  1. Nivel I: Política de Seguridad de la Información
  2. Nivel II: Estándar de Seguridad de la Información
  3. Nivel III: Procedimientos de Seguridad de la Información
  4. Nivel IV: Instrucciones de Seguridad de la Información

Esta estructura jerárquica permite adaptar con eficiencia los niveles inferiores a los cambios en el entorno técnico y funcional de MAPAL sin necesidad de revisar su estrategia de seguridad, salvo que proceda frente a modificaciones sustanciales.

El personal de MAPAL tendrá la obligación de conocer y atender, además de la Política de Seguridad de la Información, los estándares y procedimientos de seguridad que puedan afectar a sus funciones. Es, por ello, que recibirá la formación específica a tales efectos según las responsabilidades formalmente asignadas.

La normativa de seguridad estará disponible en el IT Portal de MAPAL.

7.1. NIVEL I: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Recogida en el presente documento, ha sido aprobada formalmente por la Dirección, y detalla las directrices de actuación en materia de seguridad de la información con el objeto de contribuir al cumplimiento de la misión formalizada por la Dirección.

7.2. NIVEL II: ESTÁNDAR DE SEGURIDAD DE LA INFORMACIÓN

El segundo nivel desarrolla la Política de Seguridad de la Información mediante la identificación de los objetivos específicos de seguridad considerados para los distintos dominios de seguridad:

  • Seguridad relativa a los recursos humanos
  • Gestión de activos de información
  • Control de accesos
  • Criptografía
  • Seguridad física y del entorno
  • Seguridad de las operaciones
  • Seguridad de las comunicaciones
  • Adquisición, desarrollo y mantenimiento de sistemas de información
  • Relación con proveedores
  • Gestión de incidentes de seguridad de la información
  • Aspectos de seguridad de la información para la gestión de la continuidad del negocio
  • Cumplimiento

El Estándar de Seguridad de la Información deberá ser aprobado por el Comité de Seguridad de la Información con carácter previo a su formalización y divulgación, quedando definidos los criterios para la evaluación del cumplimiento (grado de cumplimiento de los objetivos específicos de seguridad).

7.3. NIVEL III: PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN

El tercer nivel está constituido por procedimientos técnicos y organizativos de actuación que recogerán el conjunto de actividades y tareas que deben ser ejecutadas con el objeto de dar cumplimiento a los objetivos específicos de seguridad formalizados a través del Estándar de Seguridad de la Información documentado, según el valor de seguridad alcanzado por el activo de información para las distintas dimensiones de seguridad en aplicación del Estándar de Clasificación de la Información.

Estas pautas de actuación serán de aplicación específica según los distintos dominios de seguridad considerados y detallados en el Estándar de Seguridad de la Información.

Los procedimientos de seguridad deberán ser aprobados por el Responsable de Seguridad con carácter previo a su formalización y divulgación.

7.4. NIVEL IV: INSTRUCCIONES DE SEGURIDAD DE LA INFORMACIÓN

Las instrucciones específicas de trabajo serán documentadas con el objeto de personalizar la aplicación de un procedimiento para un contexto o activo de información concreto y, por tanto, presentará el detalle de las actividades y tareas a ejecutar en dicho ámbito dando cumplimiento a lo establecido en el procedimiento de seguridad del cual deriva dicha instrucción.

Las instrucciones específicas de seguridad de la información serán aprobadas por el Responsable de Seguridad tras el consenso alcanzado con los responsables de los activos de información afectados.

8. TERCERAS PARTES

Cuando MAPAL requiera de la participación de terceras partes para la prestación de un servicio, les hará participes de la normativa de seguridad que sea de consideración en el contexto de dicha colaboración, quedando estos sujetos a las obligaciones establecidas en dicha normativa.

Cuando algún aspecto de la normativa de seguridad no pueda ser satisfecho por una tercera parte, se requerirá la autorización del Responsable de Seguridad previa identificación de los riesgos en que se incurre y la forma de tratarlos, no siendo posible la formalización de la contratación con carácter previo a la obtención de dicha autorización. En cualquier caso, estas autorizaciones, en función de su categorización serán reportadas al Comité de Seguridad de la Información con el objeto de que se adopten las decisiones oportunas.

9. REVISIÓN

La Política de Seguridad de la Información será revisada anualmente por el Comité de Seguridad de la Información o cuando exista un cambio significativo (enfoque de la gestión de la seguridad, circunstancias del negocio, cambios legales, cambios en el ambiente técnico, recomendaciones realizadas por autoridades de control y tendencias relacionadas con amenazas y vulnerabilidades) que obligue a ello.

En el caso de que se obtenga una nueva versión de la Política de Seguridad de la Información, será precisa la aprobación formal de Dirección con carácter previo a su divulgación.

10. ENTRADA EN VIGOR

Texto aprobado por la Dirección el día 6 de febrero de 2023.

Su entrada en vigor supone la derogación de cualquier otra política que existiera a tales efectos.

Jorge Lureña

CEO de Mapal Software