POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Nexus IT es un organismo empresarial privado especializado en el desarrollo de aplicaciones informáticas. Como tal tiene como objetivo el desarrollo de aplicaciones con alto valor añadido para sus clientes y el cumplimiento de los objetivos que de forma periódica le marcan sus accionistas. En este desempeño la empresa precisa que la información y datos que maneja y posee se halle segura ante los riesgos existentes y con este objeto aprueba la presente Política de Seguridad de la Información.
I. Política de Seguridad de la Información
La Política de Seguridad de la Información identifica responsabilidades y establece principios y directrices para una protección apropiada y consistente de los servicios y activos de información gestionados por medio de las Tecnologías de la Información y de las Comunicaciones (TIC).
La Política de Seguridad de la Información es el instrumento en que se apoya la Nexus IT para alcanzar sus objetivos utilizando de forma segura los sistemas de información y las comunicaciones. La seguridad, concebida como proceso integral, comprende todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información y las comunicaciones, y debe entenderse no como un producto, sino como un continuo proceso de adaptación y mejora, que debe ser controlado, gestionado y monitorizado, implantando la cultura de la seguridad en Nexus IT.
La Política de Seguridad de la Información pretende dar soporte al desarrollo, coordinación y racionalización de las actividades específicas de Nexus IT y a la actualización de los conceptos según la evolución de las TIC y de la legislación vinculante y alcanzar de esta forma un conjunto equilibrado y completo.
La Política de Seguridad es de aplicación a todos los sistemas de información para los servicios de instalación, administración, operación, soporte y mantenimiento de la infraestructura hardware, software y de comunicaciones que soporta el servicio de PLYCA, conjunto de productos para la gestión de expedientes para la compra y adquisición de organismos públicos por medio de sus plataformas WEB, en la modalidad on-premise y SAAS, de acuerdo con la categorización del sistema vigente.
Subsidiariamente se aplicará al resto de sistemas de información existentes en Nexus IT, específicamente los destinados alos servicios Open for Labs GIIS y OpenLIS e internos.
II. Misión y marco normativo de Nexus IT
Es misión de Nexus IT el desarrollo de aplicaciones con alto valor añadido para sus clientes y el cumplimiento de los objetivos que asociados a esta misión de forma periódica le marcan sus accionistas.
Para el cumplimiento de su misión Nexus IT realiza actividades de desarrollo, comercialización, implantación, soporte y mantenimiento de aplicaciones software, tanto en su modalidad in situ como en línea, con destino al sector sanitario y a la administración pública. Los sistemas vinculados a dichas actividades, así como los relacionados con tareas de soporte para estas estarán sujetas al alcance del Sistema de Gestión de Seguridad de la Información.
El marco normativo en el que Nexus IT desarrolla sus actividades es el siguiente:
Marco regulatorio |
General |
Constitución española de 1979 |
Código Civil de 1889 y sus modificaciones posteriores |
Código de Comercio de 1885 y sus modificaciones posteriores, así como sus normas de desarrollo |
Ley 22/2003, de 9 de julio, Concursal |
Ley orgánica 10/1995, de 23 de noviembre del Código Penal y sus modificaciones posteriores |
Ley Orgánica 5/2010 de 22 de junio, por la que se modifica la Ley orgánica 10/1995 de 23 de noviembre del Código penal |
Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales 3/2018 de 5 de diciembre |
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal |
Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital. |
Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos |
|
Laboral |
Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales. |
Ley 20/2007 de 11 de julio del Estatuto del trabajo autónomo |
Real Decreto 2001/1983, de 28 de julio, sobre regulación de la jornada de trabajo, jornadas especiales y descansos. |
Real Decreto-ley 17/1977, de 4 de marzo, sobre relaciones de trabajo |
Legislación vigente en materia de contratación |
XVII Convenio colectivo estatal de empresas de consultoría y estudios de mercado y de la opinión pública |
Real Decreto-ley 18/2021, de 28 de septiembre, de medidas urgentes para la protección del empleo, la recuperación económica y la mejora del mercado de trabajo. |
Real Decreto-ley 32/2021, de 28 de diciembre, de medidas urgentes para la reforma laboral, la garantía de la estabilidad en el empleo y la transformación del mercado de trabajo. |
Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical. |
Ley Orgánica 4/2000, de 11 de enero, sobre derechos y libertades de los extranjeros en España y su integración social. |
Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres. |
Real Decreto-ley 3/2012, de 10 de febrero, de medidas urgentes para la reforma del mercado laboral |
Real Decreto Legislativo 1/2013, de 29 de noviembre, por el que se aprueba el Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social |
Real Decreto legislativo 2/2015 de 23 de octubre por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores |
Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social |
Real Decreto-ley 2/2021, de 26 de enero, de refuerzo y consolidación de medidas sociales en defensa del empleo. |
Real Decreto-ley 3/2021, de 2 de febrero, por el que se adoptan medidas para la reducción de la brecha de género y otras materias en los ámbitos de la Seguridad Social y económico |
Real Decreto-ley 11/2021, de 27 de mayo, sobre medidas urgentes para la defensa del empleo, la reactivación económica y la protección de los trabajadores autónomos. |
|
Por actividad |
Ley 10/2021, de 9 de julio, de trabajo a distancia. |
Ley 15/2007, de 3 de julio, de Defensa de la Competencia |
Ley 17/2001, de 7 de diciembre, de Marcas. |
Ley 2/2011, de 4 de marzo, de Economía Sostenible |
Ley 24/2015, de 24 de julio, de Patentes. |
Ley 26/2007, de 23 de octubre, de Responsabilidad Medioambiental |
Ley 3/1991, de 10 de enero, de Competencia Desleal. |
Ley 34/1988, de 11 de noviembre, General de Publicidad. |
Ley 34/2002, de 11 de julio de Servicios de la Sociedad de Información y Comercio Electrónico |
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas |
Ley 58/2003, de 17 de diciembre, General Tributaria y sus normas de desarrollo |
Ley 7/1998, de 13 de abril, sobre condiciones generales de la contratación. |
Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014 |
Normas vigentes de derecho mercantil, tributario y financiero |
Real Decreto 1514/2007, de 16 de noviembre, por el que se aprueba el Plan General de Contabilidad |
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. |
Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia. |
Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias. |
Real Decreto-ley 13/2010, de 3 de diciembre, de actuaciones en el ámbito fiscal, laboral y liberalizadoras para fomentar la inversión y la creación de empleo |
Real Decreto-ley 8/2021, de 4 de mayo, por el que se adoptan medidas urgentes en el orden sanitario, social y jurisdiccional, a aplicar tras la finalización de la vigencia del estado de alarma declarado por el Real Decreto 926/2020, de 25 de octubre, por el que se declara el estado de alarma para contener la propagación de infecciones causadas por el SARS-CoV-2 |
Real Decreto-ley 9/2017, de 26 de mayo, por el que se transponen directivas de la Unión Europea en los ámbitos financiero, mercantil y sanitario, y sobre el desplazamiento de trabajadores. |
|
III. Principios de la seguridad de la información
- Principios básicos.
Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:
- Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de Nexus IT para conformar un todo coherente y eficaz.
- Responsabilidad diferenciada: En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad sobre la prestación de los servicios; y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad. La responsabilidad de la seguridad de la información estará por tanto diferenciada de la responsabilidad sobre la prestación de los servicios.
- Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.
- Gestión de Riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad.
- Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
- Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.
- Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
- Principios particulares y responsabilidades específicas
Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades específicas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios básicos de la Política de Seguridad de la Información y que inspiran las actuaciones de Nexus IT en dicha materia. Se establecen los siguientes:
- Protección de datos de carácter personal: Nexus IT adoptará las medidas técnicas y organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa vigente en relación con el tratamiento de los datos de carácter personal.
- Gestión de activos de información: Los activos de información de la Nexus IT se encontrarán inventariados y categorizados y estarán asociados a un responsable.
- Seguridad ligada a las personas: Nexus IT implantará los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.
- Seguridad física: Los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.
- Seguridad en la gestión de comunicaciones y operaciones: Nexus IT establecerá los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las TIC. La información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.
- Control de acceso: Nexus IT limitará el acceso a los activos de información por parte de usuarios, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. Además, quedará registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organización.
- Adquisición, desarrollo y mantenimiento de los sistemas de información: Nexus IT contemplará los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
- Gestión de los incidentes de seguridad: Nexus IT implantará los mecanismos apropiados para la correcta identificación, registro y resolución de los incidentes de seguridad.
- Gestión de la continuidad: Nexus IT implantará los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus usuarios.
- Cumplimiento: Nexus IT adoptará las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información.
- Atención a las partes interesadas. – Nexus IT tamará las medidas oportunas encaminadas a dar respuesta a las necesidades identificadas de las partes interesadas y que estén en su capacidad.
IV. Estructura normativa
Dada la amplitud de los temas que afectan a la seguridad de la información y su rápida evolución, se hace necesario estructurar el desarrollo de la normativa de seguridad de la información en distintos niveles relacionados jerárquicamente:
- Primer nivel normativo: Política de Seguridad, Manual de Seguridad y anexos
- Segundo nivel normativo: Normas de Seguridad.
- Tercer nivel normativo: Procedimientos de Seguridad.
La estructura jerárquica permite adaptar con eficiencia los niveles normativos inferiores a los cambios en los entornos operativos de Nexus IT, sin necesidad de revisar su estrategia de seguridad.
El personal de Nexus IT tendrá la obligación de conocer y cumplir, además de la Política de Seguridad de la Información, todas las Normas y Procedimientos de Seguridad de la Información que puedan afectar a sus funciones.
- Primer nivel normativo: Política de Seguridad de la Información. Manual de Seguridad y anexos. – Constituye el primer nivel normativo la Política de Seguridad de la Información, recogida en el presente documento y aprobada por la Dirección de Nexus IT.
- Segundo nivel normativo: Normas de Seguridad de la Información. – El segundo nivel normativo desarrolla la Política de Seguridad de la Información mediante normas específicas que abarcan un área o aspecto determinado de la seguridad de la información. Las Normas de Seguridad de la Información desarrollarán, al menos, los aspectos recogidos en los Principios particulares y responsabilidades específicas de esta Política de Seguridad de la Información.
Las Normas de Seguridad de la Información tienen aplicabilidad en todo el ámbito de Nexus IT, siendo el órgano responsable de su preparación y aprobación el Comité de Seguridad de Nexus IT.
En el ámbito de sus funciones, el Comité de Seguridad de Nexus IT propondrá a la Dirección General de esta las medidas que considere necesarias para el desarrollo o adecuación de la Política de Seguridad de la Información.
- Tercer nivel normativo: Procedimientos de Seguridad de la Información
El tercer nivel normativo está constituido por los Procedimientos de Seguridad de la Información, instrucciones de carácter técnico o procedimental que se deben observar en tareas o actividades relacionadas con la seguridad de la información y la protección de la información y de los servicios.
Dependiendo del aspecto tratado, se aplicarán a un ámbito específico o a un sistema determinado. La responsabilidad de la aprobación de las normas de este nivel será del Comité de Seguridad
V. Organización de la seguridad
La organización de la seguridad debe tener en cuenta la propia organización de Nexus IT, en el que se añade al sistema de información especifico, la coordinación con los sistemas del grupo Vortal al que pertenece, la complejidad de la distribución territorial y funcional de su personal. En consecuencia, las responsabilidades en seguridad de la información deben emerger en todos los ámbitos.
Son órganos que intervienen en la seguridad de la información de Nexus IT:
a) Dirección General de Nexus IT. Como responsable último del funcionamiento de los servicios, la Dirección General de Nexus IT apoya explícitamente las actividades relativas a la seguridad de las TIC en todo el ámbito de Nexus IT. Dentro del marco establecido en el Esquema Nacional de Seguridad, la Dirección general de Nexus IT, tienen en su ámbito las funciones de Responsable del Servicio y Responsable de la Información. Si esta información incluye datos de carácter personal, además deberán tenerse en cuenta los requisitos derivados de la legislación correspondiente sobre protección de datos.
b) Responsable de la Información. – Es el propietario del riesgo de toda la información. Vela por el buen uso de la información y, por tanto, de su protección. Es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad de integridad. Establece los requisitos de la información en materia de seguridad. Determina los niveles de seguridad de la información.
c) Responsable del servicio.- Es el responsable de asignar los requisitos del servicio en materia de seguridad y de determinar los niveles de seguridad del servicio.
d) Responsable de seguridad.- Es el responsable de mantener la seguridad de la información manejada y de los servicios prestados por los
sistemas de información de Nexus IT. Promueve la formación y concienciación en materia de seguridad de la información dentro de Nexus IT su ámbito de responsabilidad.
e) Responsables de Departamento. – Son los responsables del cumplimiento de la normativa en su ámbito respectivo. Apoyan a la Dirección General para el establecimiento de los requisitos, en materia de seguridad, de los servicios y de la información que manejen. Si esta información incluye datos de carácter personal, además deberán tenerse en cuenta los requisitos derivados de la legislación correspondiente sobre protección de datos.
f) Responsable del Sistema de Gestión de Seguridad de la Información (SGSI). Se ocupa de desarrollar, operar y mantener el sistema de gestión de la información durante todo su ciclo de vida, de sus especificaciones e instalación y de la verificación de su correcto funcionamiento.
Dentro del marco establecido en el Esquema Nacional de Seguridad, el Responsable de Sistema de Gestión de Seguridad de la Información ejercerá la responsabilidad del Responsable de Seguridad.
g) Comité de Seguridad. – El Comité de Seguridad es el órgano colegiado encargado de analizar y evaluar los riesgos, de establecer y mantener actualizados los criterios y directrices generales sobre seguridad de la información y de acordar y hacer operativas medidas para mejorar y reforzar los sistemas de seguridad y control. El Comité podrá recabar de otros órganos asesoramiento sobre temas en los que tenga que decidir o emitir una opinión, organizándose en grupos de trabajo para abordar trabajos o actividades específicas.
El Comité de Seguridad estará compuesto por:
- Responsable del Servicio => Dirección general
- Responsable de la Información => Dirección general
- Responsable del SGSI
- Responsable de Seguridad => Responsable del SGSI
h) Administradores de Seguridad. Todos los Departamentos y Servicios Nexus IT designarán un Administrador de Seguridad. Los Administradores de Seguridad dependen directamente, y a los efectos de seguridad de la información exclusivamente, de los Responsables de Departamentos. Son responsables, en sus respectivos ámbitos, de impulsar, coordinar y controlar las medidas de seguridad establecidas en la organización y la ejecución de los planes de actuación que establezca el Comité de Seguridad.
El Responsable del Sistema de Gestión de Seguridad de la Información, será el Responsable de Seguridad Física del Sistema, encargado de coordinar las actuaciones de seguridad de Nexus IT, impartiendo directrices y promocionando la adopción de las medidas oportunas para garantizar la seguridad de las personas y de los edificios de Nexus IT
La coordinación de las actividades en materia de Seguridad de la Información será efectuada por el Responsable del SGSI, quien adoptará las medidas oportunas para dar ejecución a las decisiones tomadas por el Comité de Seguridad. El responsable del SGSI transmitirá a los diferentes responsables las actividades a realizar quienes a su vez serán los encargados de llevarlas a cabo.
En caso de conflicto en materia de seguridad de la información entre los diferentes órganos y responsables que intervienen en la misma, prevalecerá la decisión del Comité de Seguridad.
VI. Gestión de riesgos
La gestión de riesgos debe realizarse de manera continua sobre el sistema de información y contemplar un análisis de riesgos avanzado que evalúe los riesgos residuales y proponga tratamientos adecuados.
La gestión de riesgos sobre el sistema de información estará alineada con la gestión de riesgos establecida en Nexus IT, centrada en el Mapa de Riesgos de la organización.
El Comité de Seguridad, en el ejercicio de sus funciones, se encargará de analizar y evaluar los riesgos de funcionamiento de los servicios a fin de establecer las correspondientes medidas preventivas.
Para la realización del análisis de riesgos se tendrán en cuenta las recomendaciones publicadas para el ámbito de la Administración Pública y en especial las guías elaboradas por el Centro Criptológico Nacional.
VII. Formación y concienciación
Nexus IT desarrollará actividades específicas orientadas a la formación y concienciación de su personal en materia de seguridad de la información, así como a la difusión de la Política de Seguridad de la Información y su desarrollo normativo, en particular entre el personal de nueva incorporación.
A estos efectos, los Planes de Formación de Nexus IT incluirán actividades formativas específicas sobre esta materia.
Nexus IT promoverá una cultura de la seguridad de la información alineada con la Política de Seguridad de la Información entre aquellas organizaciones y usuarios externos que tengan acceso por acuerdo o convenio a los sistemas de información de la Nexus IT.
VIII. Actualización y revisión periódica
La Política de Seguridad de la Información deberá mantenerse actualizada permanentemente para adecuarla al progreso de los servicios, a la evolución tecnológica y al desarrollo de la sociedad de la información, así como a los estándares internacionales de seguridad.
Las propuestas de revisión de la Política de Seguridad de la Información se elaborarán por el Comité de Seguridad, que con tal objetivo revisará regularmente la oportunidad, idoneidad, completitud y precisión de lo establecido en la Política de Seguridad de la Información.
Las Rozas, a 30 de septiembre de 2024
La Dirección General