La Dirección de Global Technology, consciente del compromiso que contrae con sus clientes, la importancia del cuidado de la seguridad integral ha establecido en su organización un Sistema de Gestión de la Seguridad de la Información basado en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, atendiendo a los siguientes objetivos:  

  • Asegurar que los servicios prestados y productos suministrados son seguros, fiables, cumplen con los pliegos de condiciones, normas e instrucciones aplicables, se adaptan a los requisitos y expectativas de sus clientes y mejoran continuamente. 
  • Mantener al día la legislación aplicable y cumplir todos los requisitos legales y normativos establecidos en materia de calidad, gestión ambiental y seguridad de la información, asociados a nuestras actividades y aspectos que sean de obligado cumplimiento y también aquellos que suscribamos voluntariamente. 
  • Conseguir y mantener el nivel de seguridad requerido para garantizar de forma adecuada la continuidad del negocio, incluso en situaciones adversas. 
  • Incrementar la integración y el apoyo mutuo de los aspectos físicos y lógicos de la seguridad. 
  • Asegurar la disponibilidad, confidencialidad, integridad, trazabilidad y autenticidad de la información. 
  • Establecer la estructura corporativa de seguridad definida por los órganos de decisión de la organización y crear los canales de comunicación adecuados entre todos los implicados. 
  • Proteger a las personas que trabajan en la empresa, la confidencialidad y disponibilidad de sus comunicaciones y la integridad de su información. También vela por los demás activos que componen el patrimonio de la compañía, como son las instalaciones o los contenidos de todo género. 
  • Implicar, motivar y comprometer al personal propio y aquel que trabaje en nombre de Global Technology, con objeto de buscar su participación en la gestión, desarrollo y aplicación del sistema de gestión de la Seguridad de la Información implantado. 
  • Establecer e implantar planes de formación y divulgación en seguridad para la mejora continua de la formación del personal. 

En los sistemas de información proporcionados: 

  • El responsable de la información será el propietario de la misma y tendrá las siguientes funciones; 
    • Clasificar la información conforme a los criterios y categorías establecidas en el ENS y en cada una de las dimensiones de seguridad conocidas y aplicables (disponibilidad, autenticidad, trazabilidad, confidencialidad e integridad), dentro del marco establecido en el Anexo I del ENS. 
    • Trabajar en colaboración con el responsable de seguridad y el del sistema en el mantenimiento de los servicios de administración electrónica catalogados. 
    • Apoyar la realización de los análisis de riesgos y valorar las diferentes opciones de gestión del riesgo a implantar. 
    • Valorar y decidir, junto con los Responsables de los Servicios, los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea. 
    • Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes que puedan tener acceso a información de los procedimientos administrativos que gestiona y realizar el seguimiento de su cumplimiento
  • El responsable del servicio será quien determine los requisitos de los servicios prestados, en consonancia, tendrá las siguientes funciones: 
    • Establecer los requisitos del servicio en materia de seguridad, o, en terminología del ENS, la protestad de determinar los niveles de seguridad de los servicios. 
    • Clasificar los servicios conforme a los criterios y categorías establecidas en el ENS y en cada una de las dimensiones de seguridad conocidas y aplicables (disponibilidad, autenticidad, trazabilidad, confidencialidad e integridad), dentro del marco establecido en el Anexo I del ENS. 
    • Atender a los requisitos de seguridad de la información, tales como disponibilidad, accesibilidad, interoperabilidad, etc. que se demanden en la prestación de los servicios. 
    • Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes que puedan afectar a sus servicios y realizar el seguimiento de su cumplimiento. 
  • El responsable de seguridad será quien tome las decisiones adecuadas para satisfacer los requisitos de seguridad de la información y de los servicios. Dispondrá de las siguientes funciones: 
    • Supervisar el cumplimiento de la presente Política, de sus normas y procedimientos derivados. 
    • Asesorar en materia de seguridad a los integrantes Comité de Seguridad que así lo requieran. 
    • Coordinar la interacción con otros organismos especializados. 
    • Tomar conocimiento y supervisar la investigación y monitorización de los incidentes de seguridad. 
    • Establecer las medidas de seguridad, adecuadas y eficaces para cumplir los requisitos de seguridad establecidos por los Responsables de los Servicios y de la Información, siguiendo en todo momento lo exigido en el Anexo II del ENS. 
    • Asesorar, en colaboración con los Responsables de los Sistemas, los Responsables de los Servicios y de la Información, en la realización del análisis y gestión de riesgos, elevando el informe resultante al Comité de Seguridad. 
    • Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema. 
    • Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad, siguiendo las directrices del Comité de Seguridad. 
    • Realizar o promover las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones Comité de Seguridad en materia de seguridad. 
    • Preparar los temas a tratar en las reuniones del Comité de Seguridad, aportando información puntual para la toma de decisiones. 
    • Elaboración y revisión de la normativa de seguridad Comité de Seguridad. 
    • Aprobación de los procedimientos de seguridad elaborados por el Responsable del Sistema. 
  • El responsable de los sistemas de información, dentro de sus áreas de actuación, tendrán asignadas las siguientes funciones: 
    • Desarrollo, operación y mantenimiento del sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento. 
    • Garantizar que las medidas de seguridad se integren adecuadamente dentro del marco general de la Seguridad de la Información. 
    • Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema. 
    • Elaborar procedimientos técnicos de seguridad de los sistemas de información. 
    • Elaborar planes de continuidad de los sistemas de información. 
    • Colaborar para la realización del análisis de riesgos de los sistemas de información de los que es responsable.  
    • Implementar, gestionar y mantener las medidas de seguridad aplicables al sistema de información. 
    • Gestionar, configurar y actualizar, en su caso, el hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de información. 

Esta política de seguridad se establece y será desarrollada aplicando los siguientes requisitos: 

  • ENS 01 Marco organizativo 
  • ENS 02 Marco operacional 
  • ENS 03 Medidas de protección 
  • ENS 05 Proceso de autorización 
  • GT-ADMIN-REG01 Evaluación Proveedores 
  • GT-CIBER-PE01-REG01 Inventario de Activos TI Global Technology 
  • GT-CIBER-PE02 Adquisición de SW 
  • GT-CIBER-PE03 Copias de Seguridad-BACKUPS 
  • GT-CIBER-PE04 Gestión de accesos, privilegios y asignación de activos 
  • GT-CIBER-PL02 Uso y Servicios de Red 
  • GT-CIBER-PL03 Acceso lógico a sistemas y aplicaciones 
  • GT-CIBER-PL07 Política de Adquisición de SW 
  • GT-CIBER-PL14 Gestión de parches 
  • GT-CIBER-REG02 Planificación y revisión de usuarios 
  • GT-GRC-PE01Gestión documental 
  • GT-GRC-PE02Comunicación 
  • GT-GRC-PE03-Metodología para el Análisis y Gestión de Riesgos 
  • GT-GRC-PE03-DA01-Análisis y evaluación de riesgos 
  • GT-GRC-PE03-DA02-Plan de Tratamiento del Riesgo 
  • GT-GRC-PG01-DA01Análisis del Contexto 
  • GT-GRC-PG04Contexto de la organización 
  • GT-GRC-PG05Liderazgo de La Organización 
  • GT-GRC-PG05-DA01Roles y Responsabilidades  
  • GT-GRC-PG06Planificación 
  • GT-GRC-PG06-DA01Objetivos 
  • GT-GRC-PG07Apoyo 
  • GT-GRC-PG08Operación 
  • GT-GRC-PG09Evaluación del desempeño 
  • GT-GRC-PG09-DA01Seguimiento, medición y análisis 
  • GT-GRC-PG10Mejora 
  • GT-GRC-PL01Política de Gestión integral 
  • GT-GRC-PL04Uso aceptable y responsable de los activos de información 
  • GT-GRC-PL05Gestión de los RRHH 
  • GT-GRC-PL06Externalización 
  • GT-GRC-PL08Seguridad Física y Áreas Seguras 
  • GT-GRC-PL09Continuidad del negocio 
  • GT-GRC-PL13Clasificación, Etiquetado y Tratamiento de la Información 
  • GT-GRC-RE01Cumplimiento Legal 
  • GT-GRC-RE02ISO27001 Certificado  2017-2020 

Todo ello, procurando dar respuesta, entre otras, a las siguientes normas y regulación: 

  • ISO 27001 Sistemas de Gestión de Seguridad de la Información 
  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos 
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. 
  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y su modificación según el Real Decreto 951/2015, de 23 de octubre (se tendrá en cuenta el último texto consolidado)   
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la Información y Comercio Electrónico (LSSI) 
  • Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público 
  • REGLAMENTO (UE) N o 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 

La responsabilidad general de la seguridad de la información recaerá sobre el Responsable de Seguridad, siendo la responsabilidad última del Comité de Seguridad y de la Dirección como máximo responsable del SGSI. El detalle de la composición del Comité de Seguridad, así como las obligaciones de cada rol en el ámbito de la seguridad de la información se determina actas del propio comité 

En caso de conflicto entre los diferentes responsables, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Responsable de Seguridad. 

Por la presente, la Dirección de Global Technology asume la responsabilidad final y última del cumplimiento de la política…  

Del mismo modo, la Dirección analizará los riesgos y vulnerabilidades en materia de seguridad que puedan afectar al buen funcionamiento del negocio y propondrá las normas, medios y medidas procedentes para suprimirlos y en su defecto minimizarlos. A estos efectos, también estudiará los posibles riesgos ambientales. 

La Dirección procederá a la revisión periódica de la presente política su modificación si fuera necesario. Es responsabilidad de toda la organización de Global Technology, el obligado cumplimiento de lo establecido en el sistema de calidad, medio ambiente y seguridad de la Información, y fundamentalmente de las personas encargadas de la realización de las actividades comprendidas dentro de los citados sistemas. asumiendo las responsabilidades en materia de seguridad y sobre los activos de información a su cargo. 

Fdo. 

Enrique Polanco Abarca   

Director General de Global Technology                                                                        Fecha: 08/07/2020