Esta Política de Seguridad de la Información es efectiva desde la presente firma de la misma y hasta que sea
reemplazada por una nueva Política.
2. Introducción y objetivos
MOVISAT, fundada en 1996 desde una Consultora Empresarial y Tecnológica. Fuimos pioneros en el desarrollo e
implantación de Proyectos de Movilidad basados en GPS, Telecomunicaciones y Electrónica
embarcada.
Más de 25 años de experiencia nos avalan en la elaboración de soluciones para los servicios municipales de
medio ambiente. Somos el referente líder en el desarrollo e implantación de proyectos llave en mano para la
monitorización de todo tipo de proyectos que impliquen a personas y vehículos en movilidad.
La presente Política de Seguridad proporciona un marco de referencia para establecer y revisar los objetivos
y metas de seguridad de la información, estableciendo la conservación y mejora de la misma como uno de los
componentes esenciales de sus actividades e incluyendo un compromiso de cumplir con los requisitos legales y
otros requisitos aplicables, así como de mejorar continuamente la eficacia del Sistema.
El objetivo principal de nuestro sistema de seguridad de la información está orientado a garantizar la
calidad de la información y la prestación continuada de los servicios, actuando preventivamente,
supervisando la
actividad diaria y reaccionando de forma rápida y eficiente frente a los incidentes.
MOVISAT establece como objetivos de base, punto de partida y soporte de los objetivos y principios de la
seguridad de la información los siguientes:
La protección de los datos de carácter personal y la intimidad de las
personas.
La salvaguarda de los registros de la organización
La protección de los derechos de propiedad intelectual.
La documentación de las políticas relativas de seguridad de la información.
La asignación de roles y responsabilidades de seguridad de la información.
La formación, concienciación y capacitación continua a nuestro equipo para la seguridad de la
información.
El registro de las incidencias de seguridad.
La gestión de la continuidad del negocio.
La gestión de los cambios que pudieran darse en la empresa relativos a la seguridad
Asegurar que nuestros Activos y Servicios cumplen con las medidas del ENS de Nivel ALTO para las
dimensiones de Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad.
Así pues, los sistemas TIC estarán protegidos contra amenazas de rápida evolución con potencial para incidir
en
la confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad, uso previsto y valor de la
información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a
los
cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica
que
los departamentos apliquen las medidas de seguridad aplicables según la normativa ISO 27001, así como las
mínimas exigidas por el Esquema Nacional de Seguridad con el fin de realizar un seguimiento continuo de los
niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una
respuesta
efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
2.1. Prevención
MOVISAT deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios
se vean perjudicados por incidentes de seguridad. Para ello implementará las medidas mínimas de
seguridad determinadas por el ENS e ISO 27002, así como cualquier control adicional identificado a
través de una evaluación de riesgos y amenazas. Estos controles, y los roles y responsabilidades de
seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el
cumplimiento de la política, MOVISAT debe:
Autorizar los sistemas antes de entrar en operación.
valuar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración
realizados de forma rutinaria.
Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación
independiente.
2.2. Detección
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple
desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para
detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.
La monitorización es especialmente relevante cuando se establecen líneas de defensa. Se establecerán
mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se
produzca una desviación significativa de los parámetros que se hayan preestablecido como
normales.
2.3. Respuesta
Movisat debe:
Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros
departamentos o en otros organismos.
Establecer protocolos para el intercambio de información relacionada con el incidente.
2.4. Recuperación
Para garantizar la disponibilidad de los servicios críticos, los MOVISAT desrrollará planes de
continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de
recuperación.
2.5. Otros principios generales
El análisis y gestión de riesgos es parte esencial del proceso de seguridad y se mantiene
permanentemente actualizado.
La información es protegida contra accesos y alteraciones no autorizadas, manteniéndola
confidencial e íntegra.
La información está disponible, y se permite su acceso autorizado, siempre que es necesario. •
La Seguridad de la Información es responsabilidad de todos. Todas las personas que tiene acceso
a la información de la Organización deben protegerla, por lo que están adecuadamente formadas y
concienciadas.
La Seguridad de la Información no es algo estático, está constantemente controlada y
periódicamente revisada.
Política de Seguridad de la Información Rev.00 Página 2 | 7
Todos aquellos activos (infraestructura, soportes, sistemas, comunicaciones, etc.) donde reside
la información, es transportada o es procesada, están adecuadamente protegidos.
Las medidas de seguridad que se implanten deben estar en proporción a la criticidad de la
información que protejan y a los daños o pérdidas que se pueden producir en ella. En todo
momento se seguirá como mínimo las medidas de seguridad impuestas por el Esquema Nacional de
Seguridad, las guías CCN-STIC elaboradas por el Centro Criptológico Nacional del Centro Nacional
de Inteligencia. Así como también las medidas aplicables para los controles de seguridad de la
información según la norma ISO 27002.
El tratamiento de datos de carácter personal debe estar siempre de acuerdo con las leyes
aplicables en cada momento, siendo especialmente importantes la Reglamento UE 2016/679 del
Parlamento Europeo y del Consejo de 27 de abril de 2016 y la Ley Orgánica 3/2018 de Protección
de Datos de Carácter Personal y Garantía de Derechos Digitales.
3. Alcance
Sistema de Información de los servicios de: desarrollo, implantación, mantenimiento y soporte de la
Plataforma Tecnológica ( GPS, software, hardware, comunicaciones y sistemas de información geográfica)
con funcionalidades de control y gestión de recursos y actividades en movilidad: sectores medio ambiental,
sanitario, obra civil, IoT y SmartCities
4. Misión, visión y valores
Misión: Nuestra mayor vocación es prestar el mejor de los servicios a nuestros clientes, dando la
solución más óptima a sus necesidades de Sistemas de Movilidad, a través de la más completa oferta de
productos en el mercado, bajo el prisma de la excelencia en el servicio, en la calidad en implantación
de proyectos, en el I+D e Innovación continua.
Visión: Desarrollo y mejora continua de nuestros procesos productivos, logísticos y comerciales,
potenciando el servicio prestado a nuestros clientes.
Valores: En MOVISAT son tres los pilares fundamentales para lograr tales desarrollos, las personas, los
procesos y la tecnología.
PERSONAS, entre las principales fortalezas está nuestro equipo humano: profesionales en continua
formación capaces de desarrollar su labor y trabajo diario en un ambiente de respeto e interés
por lograr un mayor crecimiento laboral y personal.
PROCESOS tanto de implantación como de seguimiento están controlados por nuestra Plataforma de
Implantación de Proyectos, desarrollada por nosotros en exclusiva para ese fin. Con ella, además
de realizar un seguimiento exhaustivo de nuestros proyectos, nos sirve para transmitir la
calidad a nuestros clientes y garantizar su trazabilidad, transparencia y seguimiento a lo largo
de los mismos.
TECNOLOGÍA. En un mercado cada vez más competitivo, en MOVISAT dedicamos casi un 30% de los
tiempos productivos y recursos humanos a la innovación y mejora de nuestros productos y
servicios. Siendo una de las empresas más avanzadas en sistemas de planificación, gestión y
control de recursos en movilidad y GPS.
5. Marco normativo
MOVISAT se encuentra sujeto a la siguiente normativa en la provisión de los servicios prestados a sus
clientes:
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales.
Política de Seguridad de la Información Rev.00 Página 3 | 7
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos (reglamento General de Protección de Datos), de aplicación al tratamiento
total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos
personales contenidos o destinados a ser incluidos en un fichero.
Prevención de Riesgos Laborales Ley 31/1995 de 8 de noviembre y Real Decreto 39/1997 de 17 de enero, por
el que se aprueba el Reglamento de los Servicios de Prevención.
El convenio colectivo aplicable, correspondiente a “Oficinas y Despachos”.
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI
CE).
RD-ley 13/2012 de 30 de marzo, ley de cookies.
Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de
Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre
la materia.
Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el
que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en
adelante, ENS).
6. Organización de la Seguridad
6.1. Comité. Definición y coordinación
El Comité de Gestión de la Seguridad de la Información estará formado por los responsables de servicios e
información, responsable de seguridad y responsable del sistema, además de otros responsables o usuarios que se
considere en cada caso. El Comité tendrá las siguientes funciones:
Coordinar todas las funciones de seguridad de la Organización.
Velar por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial. ▪ Velar por el
alineamiento de las actividades de seguridad y los objetivos de la Organización.
Coordinar los planes de continuidad de las diferentes áreas para asegurar una actuación sin fisuras en
el caso de que deban ser activados.
Elaborar la Política de Seguridad Corporativa, que será aprobada por la Alta Dirección.
Coordinar y aprobar las propuestas recibidas de proyectos de los diferentes ámbitos de seguridad. El
responsable de seguridad se encargará de llevar a cabo un control y presentación regular del progreso de
los proyectos y anuncio de las posibles desviaciones.
Atender a las inquietudes de la Alta Dirección y transmitírselas al Responsable de Seguridad pertinente.
De estos últimos, recabar respuestas y soluciones que, una vez coordinadas, son notificadas a la Alta
Dirección.
Recabar del Responsable de Seguridad informes regulares del estado de la seguridad de la Organización y
de los posibles incidentes. Estos informes, se consolidan y resumen para la Alta Dirección.
Coordinar y da respuesta a las inquietudes transmitidas a través del Responsable de Seguridad.
Definir, dentro de la Política de Seguridad Corporativa, la asignación de roles y los criterios para
alcanzar las garantías que estime pertinentes en lo relativo a segregación de funciones.
Política de Seguridad de la Información Rev.00 Página 4 | 7
Promover la mejora continua del sistema de gestión de la seguridad de la información.
Elaborar la estrategia de evolución de la Organización en lo que respecta a seguridad de la información.
Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar
que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar
duplicidades.
Aprobar la normativa de seguridad de la información.
Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios
desde el punto de vista de seguridad de la información.
Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles
actuaciones respecto de ellos.
Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles
actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de
seguridad en la gestión de incidentes de seguridad de la información.
Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las
obligaciones del organismo en materia de seguridad.
Aprobar planes de mejora de la seguridad de la información de la Organización. En particular velará por
la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su
especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y
utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de
todos los sistemas TIC.
Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o
entre diferentes áreas de la Organización, elevando aquellos casos en los que no tenga suficiente
autoridad para decidir.
6.2. Roles. Funciones y responsabilidades
Los diferentes roles junto con sus respectivas funciones y responsabilidades están reflejados en los diferentes
“fichas de puestos” de MOVISAT.
RESPONSABLE DE LA INFORMACIÓN.
El Responsable de la Información (information owner) de MOVISAT es la dirección de la organización. Este
cargo tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su
protección.
El Responsable de la Información es el responsable último de cualquier error o negligencia que lleve a
un incidente de confidencialidad o de integridad.
El ENS asigna al ‘Responsable de la Información’ la potestad de establecer los requisitos de la
información en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles
de seguridad de la información (aunque en este caso, esta responsabilidad recaerá sobre el Responsable
de la Información de los organismos públicos a los que se les presta el servicio).
RESPONSABLE DEL SERVICIO
Por igual, el Responsable del Servicio de MOVISAT es la propia dirección de la organización. El ENS
asigna al ‘Responsable del Servicio’ la potestad de establecer los requisitos del servicio en materia de
seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de los
servicios.
RESPONSABLE DE LA SEGURIDAD
El Responsable de Seguridad ha sido designado directamente por la Dirección para gestionar y mantener el
SGSI.
Entre sus responsabilidades se encuentra la de mantener el proceso de mejora continua del sistema,
trabajando junto con los responsables de los procesos y de los servicios. Asimismo, es responsable de
verificar el cumplimiento del Manual de Gestión, detectar las desviaciones que se produzcan en el
Sistema, recomendar y canalizar mejoras y comprobar y evaluar la puesta en marcha y eficacia de las
mismas. Con respecto a las actividades de gestión, planificará las auditorías internas y llevará la
gestión de los incidentes relativos a los servicios que gestiona.
Dispondrá principalmente de las siguientes responsabilidades:
Mantener y supervisar la gestión de la seguridad de la información manejada y de los servicios
prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo
establecido en la Política de Seguridad de la Organización.
Promover la formación y concienciación en materia de seguridad de la información dentro de su
ámbito de responsabilidad.
RESPONSABLE DEL SISTEMA
El Responsable del Sistema ha sido designado directamente por la Dirección para gestionar y mantener el
ENS.
Cabe destacar, que el Responsable del Sistema se encargará entre sus funciones de:
Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus
especificaciones, instalación y verificación de su correcto funcionamiento.
PDefinir la topología y sistema de gestión del Sistema de Información estableciendo los
criterios de uso y los servicios disponibles en el mismo.
Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del
marco general de seguridad.
El Responsable del Sistema podrá acordar la suspensión del manejo de una cierta información o la
prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran
afectar a la satisfacción de los requisitos establecidos. Esta decisión será acordada con los
responsables de la información afectada, del servicio afectado y el Responsable de la Seguridad, antes
de ser ejecutada.
6.3. Procedimientos de designacíon
El Responsable de Seguridad de la Información será nombrado por la Dirección a propuesta del Comité de Gestión
de la Seguridad de la Información. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.
Política de Seguridad de la Información Rev.00 Página 6 | 7
6.4. Política de seguridad de la información
Será misión del Comité de Gestión de la Seguridad de la Información la revisión anual de esta Política de
Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada
por la alta dirección y difundida para que la conozcan todas las partes afectadas.
7. Gestión de riesgos
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los
riesgos a los que están expuestos. Este análisis se repetirá:
regularmente, al menos una vez al año
cuando cambie la información manejada
cuando cambien los servicios prestados
cuando ocurra un incidente grave de seguridad
cuando se reporten vulnerabilidades graves
Para la armonización de los análisis de riesgos, el Comité de Gestión de la Seguridad de la Información
establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes
servicios prestados. El Comité de Gestión de la Seguridad de la Información dinamizará la disponibilidad de
recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de
carácter horizontal.
8. Desarrollo de la política de seguridad de la información y Gestión documental
Esta Política de Seguridad de la Información será complementada por medio de diversa normativa y recomendaciones
de seguridad (políticas, protocolos, procedimientos, instrucciones técnicas, buenas prácticas, etc.).
Las directrices para la estructuración de la documentación del sistema de seguridad de la información, su
gestión y acceso se encuentran documentadas siguiendo lo exigido por la ficha de proceso “FP-01 Gestión de la
información documentada”.
9. Concienciación, formación y obligaciones del personal
Todos los miembros de MOVISAT tienen la obligación de conocer y cumplir esta Política de Seguridad de la
Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Gestión de la Seguridad de la
Información disponer de los medios necesarios para que la información llegue a los afectados.
Todos los miembros de MOVISAT asistirán a sesiones de concienciación de manera periódica en materia de seguridad
de la información. Se establecerá un programa de concienciación continua para atender a todos los miembros de
MOVISAT, en particular a los de nueva incorporación.
Igualmente, las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán
formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.