POL脥TICA DE SEGURIDAD DE LA INFORMACIÓN

Pol铆tica de Seguridad de la información

  1. 1. Aprobaci贸n y Entrada en Vigor

  2. Esta Pol铆tica de Seguridad de la Informaci贸n es efectiva desde la presente firma de la misma y hasta que sea reemplazada por una nueva Pol铆tica.

  3. 2. Introducci贸n y objetivos

    MOVISAT, fundada en 1996 desde una Consultora Empresarial y Tecnol贸gica. Fuimos pioneros en el desarrollo e implantaci贸n de Proyectos de Movilidad basados en GPS, Telecomunicaciones y Electr贸nica embarcada.

    M谩s de 25 a帽os de experiencia nos avalan en la elaboraci贸n de soluciones para los servicios municipales de medio ambiente. Somos el referente l铆der en el desarrollo e implantaci贸n de proyectos llave en mano para la monitorizaci贸n de todo tipo de proyectos que impliquen a personas y veh铆culos en movilidad.

    La presente Pol铆tica de Seguridad proporciona un marco de referencia para establecer y revisar los objetivos y metas de seguridad de la informaci贸n, estableciendo la conservaci贸n y mejora de la misma como uno de los componentes esenciales de sus actividades e incluyendo un compromiso de cumplir con los requisitos legales y otros requisitos aplicables, as铆 como de mejorar continuamente la eficacia del Sistema.

    El objetivo principal de nuestro sistema de seguridad de la informaci贸n est谩 orientado a garantizar la calidad de la informaci贸n y la prestaci贸n continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando de forma r谩pida y eficiente frente a los incidentes.

    MOVISAT establece como objetivos de base, punto de partida y soporte de los objetivos y principios de la seguridad de la informaci贸n los siguientes:

    • La protecci贸n de los datos de car谩cter personal y la intimidad de las personas.
    • La salvaguarda de los registros de la organización
    • La protecci贸n de los derechos de propiedad intelectual.
    • La documentaci贸n de las pol铆ticas relativas de seguridad de la informaci贸n.
    • La asignaci贸n de roles y responsabilidades de seguridad de la informaci贸n.
    • La formaci贸n, concienciaci贸n y capacitaci贸n continua a nuestro equipo para la seguridad de la informaci贸n.
    • El registro de las incidencias de seguridad.
    • La gesti贸n de la continuidad del negocio.
    • La gesti贸n de los cambios que pudieran darse en la empresa relativos a la seguridad
    • Asegurar que nuestros Activos y Servicios cumplen con las medidas del ENS de Nivel ALTO para las dimensiones de Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad.

    As铆 pues, los sistemas TIC estar谩n protegidos contra amenazas de r谩pida evoluci贸n con potencial para incidir en la confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad, uso previsto y valor de la informaci贸n y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestaci贸n continua de los servicios. Esto implica que los departamentos apliquen las medidas de seguridad aplicables seg煤n la normativa ISO 27001, as铆 como las m铆nimas exigidas por el Esquema Nacional de Seguridad con el fin de realizar un seguimiento continuo de los niveles de prestaci贸n de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

    1. 2.1. Prevenci贸n

    2. MOVISAT deben evitar, o al menos prevenir en la medida de lo posible, que la informaci贸n o los servicios se vean perjudicados por incidentes de seguridad. Para ello implementar谩 las medidas m铆nimas de seguridad determinadas por el ENS e ISO 27002, as铆 como cualquier control adicional identificado a trav茅s de una evaluaci贸n de riesgos y amenazas. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la pol铆tica, MOVISAT debe:
      • Autorizar los sistemas antes de entrar en operaci贸n.
      • valuar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuraci贸n realizados de forma rutinaria.
      • Solicitar la revisi贸n peri贸dica por parte de terceros con el fin de obtener una evaluaci贸n independiente.

    3. 2.2. Detecci贸n

    4. Dado que los servicios se pueden degradar r谩pidamente debido a incidentes, que van desde una simple desaceleraci贸n hasta su detenci贸n, los servicios deben monitorizar la operaci贸n de manera continua para detectar anomal铆as en los niveles de prestaci贸n de los servicios y actuar en consecuencia.
      La monitorizaci贸n es especialmente relevante cuando se establecen l铆neas de defensa. Se establecer谩n mecanismos de detecci贸n, an谩lisis y reporte que lleguen a los responsables regularmente y cuando se produzca una desviaci贸n significativa de los par谩metros que se hayan preestablecido como normales.

    5. 2.3. Respuesta

    6. Movisat debe:
      • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
      • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
      • Establecer protocolos para el intercambio de informaci贸n relacionada con el incidente.


    7. 2.4. Recuperaci贸n

    8. Para garantizar la disponibilidad de los servicios cr铆ticos, los MOVISAT desrrollar谩 planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperaci贸n.

    9. 2.5. Otros principios generales

      • El an谩lisis y gesti贸n de riesgos es parte esencial del proceso de seguridad y se mantiene permanentemente actualizado.
      • La informaci贸n es protegida contra accesos y alteraciones no autorizadas, manteni茅ndola confidencial e 铆ntegra.
      • La informaci贸n est谩 disponible, y se permite su acceso autorizado, siempre que es necesario. 鈥 La Seguridad de la Informaci贸n es responsabilidad de todos. Todas las personas que tiene acceso a la informaci贸n de la Organizaci贸n deben protegerla, por lo que est谩n adecuadamente formadas y concienciadas.
      • La Seguridad de la Informaci贸n no es algo est谩tico, est谩 constantemente controlada y peri贸dicamente revisada. Pol铆tica de Seguridad de la Informaci贸n Rev.00 P谩gina 2 | 7
      • Todos aquellos activos (infraestructura, soportes, sistemas, comunicaciones, etc.) donde reside la informaci贸n, es transportada o es procesada, est谩n adecuadamente protegidos.
      • Las medidas de seguridad que se implanten deben estar en proporci贸n a la criticidad de la informaci贸n que protejan y a los da帽os o p茅rdidas que se pueden producir en ella. En todo momento se seguir谩 como m铆nimo las medidas de seguridad impuestas por el Esquema Nacional de Seguridad, las gu铆as CCN-STIC elaboradas por el Centro Criptol贸gico Nacional del Centro Nacional de Inteligencia. As铆 como tambi茅n las medidas aplicables para los controles de seguridad de la informaci贸n seg煤n la norma ISO 27002.
      • El tratamiento de datos de car谩cter personal debe estar siempre de acuerdo con las leyes aplicables en cada momento, siendo especialmente importantes la Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y la Ley Org谩nica 3/2018 de Protecci贸n de Datos de Car谩cter Personal y Garant铆a de Derechos Digitales.


  4. 3. Alcance

  5. Desarrollo tecnol贸gico e implantaci贸n de Plataforma Tecnol贸gica, GPS, software, hardware, comunicaciones y sistemas de informaci贸n geogr谩fica con funcionalidades de control y gesti贸n de recursos y actividades en movilidad: sectores medio ambiental, sanitario, obra civil, IoT, SmartCities, etc.

  6. 4. Misi贸n, visi贸n y valores

  7. Misi贸n: Nuestra mayor vocaci贸n es prestar el mejor de los servicios a nuestros clientes, dando la soluci贸n m谩s 贸ptima a sus necesidades de Sistemas de Movilidad, a trav茅s de la m谩s completa oferta de productos en el mercado, bajo el prisma de la excelencia en el servicio, en la calidad en implantaci贸n de proyectos, en el I+D e Innovaci贸n continua.
    Visi贸n: Desarrollo y mejora continua de nuestros procesos productivos, log铆sticos y comerciales, potenciando el servicio prestado a nuestros clientes.
    Valores: En MOVISAT son tres los pilares fundamentales para lograr tales desarrollos, las personas, los procesos y la tecnolog铆a.
    • PERSONAS, entre las principales fortalezas est谩 nuestro equipo humano: profesionales en continua formaci贸n capaces de desarrollar su labor y trabajo diario en un ambiente de respeto e inter茅s por lograr un mayor crecimiento laboral y personal.
    • PROCESOS tanto de implantaci贸n como de seguimiento est谩n controlados por nuestra Plataforma de Implantaci贸n de Proyectos, desarrollada por nosotros en exclusiva para ese fin. Con ella, adem谩s de realizar un seguimiento exhaustivo de nuestros proyectos, nos sirve para transmitir la calidad a nuestros clientes y garantizar su trazabilidad, transparencia y seguimiento a lo largo de los mismos.
    • TECNOLOG脥A. En un mercado cada vez m谩s competitivo, en MOVISAT dedicamos casi un 30% de los tiempos productivos y recursos humanos a la innovaci贸n y mejora de nuestros productos y servicios. Siendo una de las empresas m谩s avanzadas en sistemas de planificaci贸n, gesti贸n y control de recursos en movilidad y GPS.

  8. 5. Marco normativo

  9. MOVISAT se encuentra sujeto a la siguiente normativa en la provisi贸n de los servicios prestados a sus clientes:
    • Ley Org谩nica 3/2018, de 5 de diciembre, de Protecci贸n de Datos Personales y garant铆a de los derechos digitales. Pol铆tica de Seguridad de la Informaci贸n Rev.00 P谩gina 3 | 7
    • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de datos personales y a la libre circulaci贸n de estos datos (reglamento General de Protecci贸n de Datos), de aplicaci贸n al tratamiento total o parcialmente automatizado de datos personales, as铆 como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
    • Prevenci贸n de Riesgos Laborales Ley 31/1995 de 8 de noviembre y Real Decreto 39/1997 de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevenci贸n.
    • El convenio colectivo aplicable, correspondiente a 鈥淥ficinas y Despachos鈥.
    • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informaci贸n y Comercio Electr贸nico (LSSI CE).
    • RD-ley 13/2012 de 30 de marzo, ley de cookies.
    • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
    • Real Decreto 951/2015, de 23 de octubre, de modificaci贸n del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el 谩mbito de la Administraci贸n Electr贸nica (en adelante, ENS).

  10. 6. Organizaci贸n de la Seguridad

  11. 6.1. Comit茅. Definici贸n y coordinaci贸n

  12. El Comit茅 de Gesti贸n de la Seguridad de la Informaci贸n estar谩 formado por los responsables de servicios e informaci贸n, responsable de seguridad y responsable del sistema, adem谩s de otros responsables o usuarios que se considere en cada caso. El Comit茅 tendr谩 las siguientes funciones:
    • Coordinar todas las funciones de seguridad de la Organizaci贸n.
    • Velar por el cumplimiento de la normativa de aplicaci贸n legal, regulatoria y sectorial. 鈻 Velar por el alineamiento de las actividades de seguridad y los objetivos de la Organizaci贸n.
    • Coordinar los planes de continuidad de las diferentes 谩reas para asegurar una actuaci贸n sin fisuras en el caso de que deban ser activados.
    • Elaborar la Pol铆tica de Seguridad Corporativa, que ser谩 aprobada por la Alta Direcci贸n.
    • Coordinar y aprobar las propuestas recibidas de proyectos de los diferentes 谩mbitos de seguridad. El responsable de seguridad se encargar谩 de llevar a cabo un control y presentaci贸n regular del progreso de los proyectos y anuncio de las posibles desviaciones.
    • Atender a las inquietudes de la Alta Direcci贸n y transmit铆rselas al Responsable de Seguridad pertinente. De estos 煤ltimos, recabar respuestas y soluciones que, una vez coordinadas, son notificadas a la Alta Direcci贸n.
    • Recabar del Responsable de Seguridad informes regulares del estado de la seguridad de la Organizaci贸n y de los posibles incidentes. Estos informes, se consolidan y resumen para la Alta Direcci贸n.
    • Coordinar y da respuesta a las inquietudes transmitidas a trav茅s del Responsable de Seguridad.
    • Definir, dentro de la Pol铆tica de Seguridad Corporativa, la asignaci贸n de roles y los criterios para alcanzar las garant铆as que estime pertinentes en lo relativo a segregaci贸n de funciones. Pol铆tica de Seguridad de la Informaci贸n Rev.00 P谩gina 4 | 7
    • Promover la mejora continua del sistema de gesti贸n de la seguridad de la informaci贸n.
    • Elaborar la estrategia de evoluci贸n de la Organizaci贸n en lo que respecta a seguridad de la informaci贸n.
    • Coordinar los esfuerzos de las diferentes 谩reas en materia de seguridad de la informaci贸n, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
    • Aprobar la normativa de seguridad de la informaci贸n.
    • Elaborar y aprobar los requisitos de formaci贸n y calificaci贸n de administradores, operadores y usuarios desde el punto de vista de seguridad de la informaci贸n.
    • Monitorizar los principales riesgos residuales asumidos por la Organizaci贸n y recomendar posibles actuaciones respecto de ellos.
    • Monitorizar el desempe帽o de los procesos de gesti贸n de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinaci贸n de las diferentes 谩reas de seguridad en la gesti贸n de incidentes de seguridad de la informaci贸n.
    • Promover la realizaci贸n de las auditor铆as peri贸dicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
    • Aprobar planes de mejora de la seguridad de la informaci贸n de la Organizaci贸n. En particular velar谩 por la coordinaci贸n de diferentes planes que puedan realizarse en diferentes 谩reas.
    • Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
    • Velar porque la seguridad de la informaci贸n se tenga en cuenta en todos los proyectos TIC desde su especificaci贸n inicial hasta su puesta en operaci贸n. En particular deber谩 velar por la creaci贸n y utilizaci贸n de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homog茅neo de todos los sistemas TIC.
    • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes 谩reas de la Organizaci贸n, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

  13. 6.2. Roles. Funciones y responsabilidades

  14. Los diferentes roles junto con sus respectivas funciones y responsabilidades est谩n reflejados en los diferentes 鈥渇ichas de puestos鈥 de MOVISAT.
    • RESPONSABLE DE LA INFORMACI脫N.
      El Responsable de la Informaci贸n (information owner) de MOVISAT es la direcci贸n de la organizaci贸n. Este cargo tiene la responsabilidad 煤ltima del uso que se haga de una cierta informaci贸n y, por tanto, de su protecci贸n.
      El Responsable de la Informaci贸n es el responsable 煤ltimo de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
      El ENS asigna al 鈥楻esponsable de la Informaci贸n鈥 la potestad de establecer los requisitos de la informaci贸n en materia de seguridad. O, en terminolog铆a del ENS, la potestad de determinar los niveles de seguridad de la informaci贸n (aunque en este caso, esta responsabilidad recaer谩 sobre el Responsable de la Informaci贸n de los organismos p煤blicos a los que se les presta el servicio).

    • RESPONSABLE DEL SERVICIO
      Por igual, el Responsable del Servicio de MOVISAT es la propia direcci贸n de la organizaci贸n. El ENS asigna al 鈥楻esponsable del Servicio鈥 la potestad de establecer los requisitos del servicio en materia de seguridad. O, en terminolog铆a del ENS, la potestad de determinar los niveles de seguridad de los servicios.

    • RESPONSABLE DE LA SEGURIDAD
      El Responsable de Seguridad ha sido designado directamente por la Direcci贸n para gestionar y mantener el SGSI.
      Entre sus responsabilidades se encuentra la de mantener el proceso de mejora continua del sistema, trabajando junto con los responsables de los procesos y de los servicios. Asimismo, es responsable de verificar el cumplimiento del Manual de Gesti贸n, detectar las desviaciones que se produzcan en el Sistema, recomendar y canalizar mejoras y comprobar y evaluar la puesta en marcha y eficacia de las mismas. Con respecto a las actividades de gesti贸n, planificar谩 las auditor铆as internas y llevar谩 la gesti贸n de los incidentes relativos a los servicios que gestiona.
      Dispondr谩 principalmente de las siguientes responsabilidades:
      • Mantener y supervisar la gesti贸n de la seguridad de la informaci贸n manejada y de los servicios prestados por los sistemas de informaci贸n en su 谩mbito de responsabilidad, de acuerdo a lo establecido en la Pol铆tica de Seguridad de la Organizaci贸n.
      • Promover la formaci贸n y concienciaci贸n en materia de seguridad de la informaci贸n dentro de su 谩mbito de responsabilidad.

    • RESPONSABLE DEL SISTEMA
      El Responsable del Sistema ha sido designado directamente por la Direcci贸n para gestionar y mantener el ENS.
      Cabe destacar, que el Responsable del Sistema se encargar谩 entre sus funciones de:
      • Desarrollar, operar y mantener el Sistema de Informaci贸n durante todo su ciclo de vida, de sus especificaciones, instalaci贸n y verificaci贸n de su correcto funcionamiento.
      • PDefinir la topolog铆a y sistema de gesti贸n del Sistema de Informaci贸n estableciendo los criterios de uso y los servicios disponibles en el mismo.
      • Cerciorarse de que las medidas espec铆ficas de seguridad se integren adecuadamente dentro del marco general de seguridad.

      El Responsable del Sistema podr谩 acordar la suspensi贸n del manejo de una cierta informaci贸n o la prestaci贸n de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacci贸n de los requisitos establecidos. Esta decisi贸n ser谩 acordada con los responsables de la informaci贸n afectada, del servicio afectado y el Responsable de la Seguridad, antes de ser ejecutada.

  15. 6.3. Procedimientos de designac铆on

  16. El Responsable de Seguridad de la Informaci贸n ser谩 nombrado por la Direcci贸n a propuesta del Comit茅 de Gesti贸n de la Seguridad de la Informaci贸n. El nombramiento se revisar谩 cada 2 a帽os o cuando el puesto quede vacante. Pol铆tica de Seguridad de la Informaci贸n Rev.00 P谩gina 6 | 7

  17. 6.4. Pol铆tica de seguridad de la informaci贸n

  18. Ser谩 misi贸n del Comit茅 de Gesti贸n de la Seguridad de la Informaci贸n la revisi贸n anual de esta Pol铆tica de Seguridad de la Informaci贸n y la propuesta de revisi贸n o mantenimiento de la misma. La Pol铆tica ser谩 aprobada por la alta direcci贸n y difundida para que la conozcan todas las partes afectadas.

  19. 7. Gesti贸n de riesgos

  20. Todos los sistemas sujetos a esta Pol铆tica deber谩n realizar un an谩lisis de riesgos, evaluando las amenazas y los riesgos a los que est谩n expuestos. Este an谩lisis se repetir谩:
    • regularmente, al menos una vez al a帽o
    • cuando cambie la informaci贸n manejada
    • cuando cambien los servicios prestados
    • cuando ocurra un incidente grave de seguridad
    • cuando se reporten vulnerabilidades graves

    Para la armonizaci贸n de los an谩lisis de riesgos, el Comit茅 de Gesti贸n de la Seguridad de la Informaci贸n establecer谩 una valoraci贸n de referencia para los diferentes tipos de informaci贸n manejados y los diferentes servicios prestados. El Comit茅 de Gesti贸n de la Seguridad de la Informaci贸n dinamizar谩 la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de car谩cter horizontal.

  21. 8. Desarrollo de la pol铆tica de seguridad de la informaci贸n y Gesti贸n documental

  22. Esta Pol铆tica de Seguridad de la Informaci贸n ser谩 complementada por medio de diversa normativa y recomendaciones de seguridad (pol铆ticas, protocolos, procedimientos, instrucciones t茅cnicas, buenas pr谩cticas, etc.). Las directrices para la estructuraci贸n de la documentaci贸n del sistema de seguridad de la informaci贸n, su gesti贸n y acceso se encuentran documentadas siguiendo lo exigido por la ficha de proceso 鈥淔P-01 Gesti贸n de la informaci贸n documentada鈥.

  23. 9. Concienciaci贸n, formaci贸n y obligaciones del personal

  24. Todos los miembros de MOVISAT tienen la obligaci贸n de conocer y cumplir esta Pol铆tica de Seguridad de la Informaci贸n y la Normativa de Seguridad, siendo responsabilidad del Comit茅 de Gesti贸n de la Seguridad de la Informaci贸n disponer de los medios necesarios para que la informaci贸n llegue a los afectados. Todos los miembros de MOVISAT asistir谩n a sesiones de concienciaci贸n de manera peri贸dica en materia de seguridad de la informaci贸n. Se establecer谩 un programa de concienciaci贸n continua para atender a todos los miembros de MOVISAT, en particular a los de nueva incorporaci贸n. Igualmente, las personas con responsabilidad en el uso, operaci贸n o administraci贸n de sistemas TIC recibir谩n formaci贸n para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.


Murcia, 2 de noviembre de 2021