POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Política de Seguridad de la información

  1. 1. Aprobación y Entrada en Vigor

  2. Esta Política de Seguridad de la Información es efectiva desde la presente firma de la misma y hasta que sea reemplazada por una nueva Política.

  3. 2. Introducción y objetivos

    MOVISAT, fundada en 1996 desde una Consultora Empresarial y Tecnológica. Fuimos pioneros en el desarrollo e implantación de Proyectos de Movilidad basados en GPS, Telecomunicaciones y Electrónica embarcada.

    Más de 25 años de experiencia nos avalan en la elaboración de soluciones para los servicios municipales de medio ambiente. Somos el referente líder en el desarrollo e implantación de proyectos llave en mano para la monitorización de todo tipo de proyectos que impliquen a personas y vehículos en movilidad.

    La presente Política de Seguridad proporciona un marco de referencia para establecer y revisar los objetivos y metas de seguridad de la información, estableciendo la conservación y mejora de la misma como uno de los componentes esenciales de sus actividades e incluyendo un compromiso de cumplir con los requisitos legales y otros requisitos aplicables, así como de mejorar continuamente la eficacia del Sistema.

    El objetivo principal de nuestro sistema de seguridad de la información está orientado a garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando de forma rápida y eficiente frente a los incidentes.

    MOVISAT establece como objetivos de base, punto de partida y soporte de los objetivos y principios de la seguridad de la información los siguientes:

    • La protección de los datos de carácter personal y la intimidad de las personas.
    • La salvaguarda de los registros de la organización
    • La protección de los derechos de propiedad intelectual.
    • La documentación de las políticas relativas de seguridad de la información.
    • La asignación de roles y responsabilidades de seguridad de la información.
    • La formación, concienciación y capacitación continua a nuestro equipo para la seguridad de la información.
    • El registro de las incidencias de seguridad.
    • La gestión de la continuidad del negocio.
    • La gestión de los cambios que pudieran darse en la empresa relativos a la seguridad
    • Asegurar que nuestros Activos y Servicios cumplen con las medidas del ENS de Nivel ALTO para las dimensiones de Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad.

    Así pues, los sistemas TIC estarán protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos apliquen las medidas de seguridad aplicables según la normativa ISO 27001, así como las mínimas exigidas por el Esquema Nacional de Seguridad con el fin de realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

    1. 2.1. Prevención

    2. MOVISAT deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello implementará las medidas mínimas de seguridad determinadas por el ENS e ISO 27002, así como cualquier control adicional identificado a través de una evaluación de riesgos y amenazas. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, MOVISAT debe:
      • Autorizar los sistemas antes de entrar en operación.
      • valuar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
      • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

    3. 2.2. Detección

    4. Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.
      La monitorización es especialmente relevante cuando se establecen líneas de defensa. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.

    5. 2.3. Respuesta

    6. Movisat debe:
      • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
      • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
      • Establecer protocolos para el intercambio de información relacionada con el incidente.


    7. 2.4. Recuperación

    8. Para garantizar la disponibilidad de los servicios críticos, los MOVISAT desrrollará planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

    9. 2.5. Otros principios generales

      • El análisis y gestión de riesgos es parte esencial del proceso de seguridad y se mantiene permanentemente actualizado.
      • La información es protegida contra accesos y alteraciones no autorizadas, manteniéndola confidencial e íntegra.
      • La información está disponible, y se permite su acceso autorizado, siempre que es necesario. • La Seguridad de la Información es responsabilidad de todos. Todas las personas que tiene acceso a la información de la Organización deben protegerla, por lo que están adecuadamente formadas y concienciadas.
      • La Seguridad de la Información no es algo estático, está constantemente controlada y periódicamente revisada. Política de Seguridad de la Información Rev.00 Página 2 | 7
      • Todos aquellos activos (infraestructura, soportes, sistemas, comunicaciones, etc.) donde reside la información, es transportada o es procesada, están adecuadamente protegidos.
      • Las medidas de seguridad que se implanten deben estar en proporción a la criticidad de la información que protejan y a los daños o pérdidas que se pueden producir en ella. En todo momento se seguirá como mínimo las medidas de seguridad impuestas por el Esquema Nacional de Seguridad, las guías CCN-STIC elaboradas por el Centro Criptológico Nacional del Centro Nacional de Inteligencia. Así como también las medidas aplicables para los controles de seguridad de la información según la norma ISO 27002.
      • El tratamiento de datos de carácter personal debe estar siempre de acuerdo con las leyes aplicables en cada momento, siendo especialmente importantes la Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y la Ley Orgánica 3/2018 de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales.


  4. 3. Alcance

  5. Sistema de Información de los servicios de: desarrollo, implantación, mantenimiento y soporte de la Plataforma Tecnológica ( GPS, software, hardware, comunicaciones y sistemas de información geográfica) con funcionalidades de control y gestión de recursos y actividades en movilidad: sectores medio ambiental, sanitario, obra civil, IoT y SmartCities

  6. 4. Misión, visión y valores

  7. Misión: Nuestra mayor vocación es prestar el mejor de los servicios a nuestros clientes, dando la solución más óptima a sus necesidades de Sistemas de Movilidad, a través de la más completa oferta de productos en el mercado, bajo el prisma de la excelencia en el servicio, en la calidad en implantación de proyectos, en el I+D e Innovación continua.
    Visión: Desarrollo y mejora continua de nuestros procesos productivos, logísticos y comerciales, potenciando el servicio prestado a nuestros clientes.
    Valores: En MOVISAT son tres los pilares fundamentales para lograr tales desarrollos, las personas, los procesos y la tecnología.
    • PERSONAS, entre las principales fortalezas está nuestro equipo humano: profesionales en continua formación capaces de desarrollar su labor y trabajo diario en un ambiente de respeto e interés por lograr un mayor crecimiento laboral y personal.
    • PROCESOS tanto de implantación como de seguimiento están controlados por nuestra Plataforma de Implantación de Proyectos, desarrollada por nosotros en exclusiva para ese fin. Con ella, además de realizar un seguimiento exhaustivo de nuestros proyectos, nos sirve para transmitir la calidad a nuestros clientes y garantizar su trazabilidad, transparencia y seguimiento a lo largo de los mismos.
    • TECNOLOGÍA. En un mercado cada vez más competitivo, en MOVISAT dedicamos casi un 30% de los tiempos productivos y recursos humanos a la innovación y mejora de nuestros productos y servicios. Siendo una de las empresas más avanzadas en sistemas de planificación, gestión y control de recursos en movilidad y GPS.

  8. 5. Marco normativo

  9. MOVISAT se encuentra sujeto a la siguiente normativa en la provisión de los servicios prestados a sus clientes:
    • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Política de Seguridad de la Información Rev.00 Página 3 | 7
    • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (reglamento General de Protección de Datos), de aplicación al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
    • Prevención de Riesgos Laborales Ley 31/1995 de 8 de noviembre y Real Decreto 39/1997 de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención.
    • El convenio colectivo aplicable, correspondiente a “Oficinas y Despachos”.
    • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI CE).
    • RD-ley 13/2012 de 30 de marzo, ley de cookies.
    • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
    • Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante, ENS).

  10. 6. Organización de la Seguridad

  11. 6.1. Comité. Definición y coordinación

  12. El Comité de Gestión de la Seguridad de la Información estará formado por los responsables de servicios e información, responsable de seguridad y responsable del sistema, además de otros responsables o usuarios que se considere en cada caso. El Comité tendrá las siguientes funciones:
    • Coordinar todas las funciones de seguridad de la Organización.
    • Velar por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial. ▪ Velar por el alineamiento de las actividades de seguridad y los objetivos de la Organización.
    • Coordinar los planes de continuidad de las diferentes áreas para asegurar una actuación sin fisuras en el caso de que deban ser activados.
    • Elaborar la Política de Seguridad Corporativa, que será aprobada por la Alta Dirección.
    • Coordinar y aprobar las propuestas recibidas de proyectos de los diferentes ámbitos de seguridad. El responsable de seguridad se encargará de llevar a cabo un control y presentación regular del progreso de los proyectos y anuncio de las posibles desviaciones.
    • Atender a las inquietudes de la Alta Dirección y transmitírselas al Responsable de Seguridad pertinente. De estos últimos, recabar respuestas y soluciones que, una vez coordinadas, son notificadas a la Alta Dirección.
    • Recabar del Responsable de Seguridad informes regulares del estado de la seguridad de la Organización y de los posibles incidentes. Estos informes, se consolidan y resumen para la Alta Dirección.
    • Coordinar y da respuesta a las inquietudes transmitidas a través del Responsable de Seguridad.
    • Definir, dentro de la Política de Seguridad Corporativa, la asignación de roles y los criterios para alcanzar las garantías que estime pertinentes en lo relativo a segregación de funciones. Política de Seguridad de la Información Rev.00 Página 4 | 7
    • Promover la mejora continua del sistema de gestión de la seguridad de la información.
    • Elaborar la estrategia de evolución de la Organización en lo que respecta a seguridad de la información.
    • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
    • Aprobar la normativa de seguridad de la información.
    • Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.
    • Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones respecto de ellos.
    • Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.
    • Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
    • Aprobar planes de mejora de la seguridad de la información de la Organización. En particular velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
    • Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
    • Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
    • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la Organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

  13. 6.2. Roles. Funciones y responsabilidades

  14. Los diferentes roles junto con sus respectivas funciones y responsabilidades están reflejados en los diferentes “fichas de puestos” de MOVISAT.
    • RESPONSABLE DE LA INFORMACIÓN.
      El Responsable de la Información (information owner) de MOVISAT es la dirección de la organización. Este cargo tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.
      El Responsable de la Información es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
      El ENS asigna al ‘Responsable de la Información’ la potestad de establecer los requisitos de la información en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de la información (aunque en este caso, esta responsabilidad recaerá sobre el Responsable de la Información de los organismos públicos a los que se les presta el servicio).

    • RESPONSABLE DEL SERVICIO
      Por igual, el Responsable del Servicio de MOVISAT es la propia dirección de la organización. El ENS asigna al ‘Responsable del Servicio’ la potestad de establecer los requisitos del servicio en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de los servicios.

    • RESPONSABLE DE LA SEGURIDAD
      El Responsable de Seguridad ha sido designado directamente por la Dirección para gestionar y mantener el SGSI.
      Entre sus responsabilidades se encuentra la de mantener el proceso de mejora continua del sistema, trabajando junto con los responsables de los procesos y de los servicios. Asimismo, es responsable de verificar el cumplimiento del Manual de Gestión, detectar las desviaciones que se produzcan en el Sistema, recomendar y canalizar mejoras y comprobar y evaluar la puesta en marcha y eficacia de las mismas. Con respecto a las actividades de gestión, planificará las auditorías internas y llevará la gestión de los incidentes relativos a los servicios que gestiona.
      Dispondrá principalmente de las siguientes responsabilidades:
      • Mantener y supervisar la gestión de la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Organización.
      • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

    • RESPONSABLE DEL SISTEMA
      El Responsable del Sistema ha sido designado directamente por la Dirección para gestionar y mantener el ENS.
      Cabe destacar, que el Responsable del Sistema se encargará entre sus funciones de:
      • Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
      • PDefinir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
      • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.

      El Responsable del Sistema podrá acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión será acordada con los responsables de la información afectada, del servicio afectado y el Responsable de la Seguridad, antes de ser ejecutada.

  15. 6.3. Procedimientos de designacíon

  16. El Responsable de Seguridad de la Información será nombrado por la Dirección a propuesta del Comité de Gestión de la Seguridad de la Información. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante. Política de Seguridad de la Información Rev.00 Página 6 | 7

  17. 6.4. Política de seguridad de la información

  18. Será misión del Comité de Gestión de la Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la alta dirección y difundida para que la conozcan todas las partes afectadas.

  19. 7. Gestión de riesgos

  20. Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
    • regularmente, al menos una vez al año
    • cuando cambie la información manejada
    • cuando cambien los servicios prestados
    • cuando ocurra un incidente grave de seguridad
    • cuando se reporten vulnerabilidades graves

    Para la armonización de los análisis de riesgos, el Comité de Gestión de la Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Gestión de la Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

  21. 8. Desarrollo de la política de seguridad de la información y Gestión documental

  22. Esta Política de Seguridad de la Información será complementada por medio de diversa normativa y recomendaciones de seguridad (políticas, protocolos, procedimientos, instrucciones técnicas, buenas prácticas, etc.). Las directrices para la estructuración de la documentación del sistema de seguridad de la información, su gestión y acceso se encuentran documentadas siguiendo lo exigido por la ficha de proceso “FP-01 Gestión de la información documentada”.

  23. 9. Concienciación, formación y obligaciones del personal

  24. Todos los miembros de MOVISAT tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Gestión de la Seguridad de la Información disponer de los medios necesarios para que la información llegue a los afectados. Todos los miembros de MOVISAT asistirán a sesiones de concienciación de manera periódica en materia de seguridad de la información. Se establecerá un programa de concienciación continua para atender a todos los miembros de MOVISAT, en particular a los de nueva incorporación. Igualmente, las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.


Murcia, 2 de noviembre de 2021