INTRODUCCIÓ

A Atalis Funding, depèn dels sistemes TIC (Tecnologies d’Informació i Comunicacions) per assolir els objectius de negoci. Aquests sistemes han de ser administrats amb diligència, prenent les mesures adequades per protegir-los davant de danys accidentals o deliberats que puguin afectar la disponibilitat, integritat o confidencialitat de la informació tractada o els serveis prestats.

L’objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels serveis, actuant preventivament, supervisant l’activitat diària i reaccionant amb prestesa als incidents.

Els sistemes TIC han d’estar protegits contra amenaces de ràpida evolució amb potencial per incidir en la confidencialitat, la integritat, la disponibilitat, l’ús previst i el valor de la informació i els serveis. Per defensar-se d’aquestes amenaces, cal una estratègia que s’adapti als canvis en les condicions de l’entorn per garantir la prestació continuada dels serveis. Això implica que els departaments han d’aplicar les mesures mínimes de seguretat exigides per l’Esquema Nacional de Seguretat, així com fer un seguiment continu dels nivells de prestació de serveis, seguir i analitzar les vulnerabilitats reportades, i preparar una resposta efectiva als incidents per garantir la continuïtat dels serveis prestats.

Els diferents departaments han d’assegurar-se que la seguretat TIC és una part integral de cada etapa del cicle de vida del sistema, des de la concepció fins a la retirada de servei, passant per les decisions de desenvolupament o adquisició i les activitats d’explotació. Els requisits de seguretat i les necessitats de finançament han de ser identificats i inclosos a la planificació, a la sol·licitud d’ofertes, i en plecs de licitació per a projectes de TIC.

Els departaments han d’estar preparats per prevenir, detectar, reaccionar i recuperar-se d’incidents, segons l’article 7 de l’ENS.

PREVENCIÓ

Els departaments han d’evitar, o almenys prevenir en la mesura que sigui possible, que la informació o els serveis es vegin perjudicats per incidents de seguretat. Per això, els departaments han d’implementar les mesures mínimes de seguretat determinades per l’ENS, així com qualsevol control addicional identificat mitjançant una avaluació d’amenaces i riscos. Aquests controls, i els rols i les responsabilitats de seguretat de tot el personal, han d’estar clarament definits i documentats.

Per garantir el compliment de la política, els departaments han de:

  • Autoritzar els sistemes abans d’entrar en operació.
  • Avaluar regularment la seguretat, incloent-hi avaluacions dels canvis de configuració realitzats de forma rutinària.

DETECCIÓ

Atès que els serveis es poden degradar ràpidament a causa d’incidents, que van des d’una simple desacceleració fins a la seva detenció, els serveis han de monitoritzar l’operació de manera contínua per detectar anomalies als nivells de prestació dels serveis i actuar en conseqüència segons el que estableix l’article 9 de l’ENS.

La monitorització és especialment rellevant quan sestableixen línies de defensa dacord amb larticle 8 de lENS. S’establiran mecanismes de detecció, anàlisi i reporti que arribin als responsables regularment i quan es produeix una desviació significativa dels paràmetres que s’hagin preestablert com a normals.

RESPOSTA

Els departaments han de:

  • Establir mecanismes per respondre eficaçment als incidents de seguretat.
  • Designar punt de contacte per a les comunicacions pel que fa a incidents detectats en altres departaments o altres organismes.
  • Establir protocols per a lintercanvi dinformació relacionada amb lincident. Això inclou comunicacions, en tots dos sentits, amb els Equips de Resposta a Emergències (CERT).

ABAST

Aquesta política s’aplica a tots els sistemes TIC d’Atalis Funding així com a tots els membres d’Atalis Funding sense excepcions.

MISSIÓ

Com a resposta a un nou entorn tecnològic on la convergència entre la informàtica i les comunicacions estan facilitant un nou paradigma de productivitat per a les empreses, Atalis Funding, està altament compromès a mantenir la promoció de projectes de recerca, desenvolupament tecnològic i innovació, en un entorn de qualitat, on el desenvolupament de bones pràctiques en seguretat de la informació és fonamental per aconseguir els objectius de la gestió. En conseqüència, Atalis Funding defineix els principis d’aplicació següents a tenir en compte en el marc del Sistema de Gestió de Seguretat de la Informació (SGSI):

La Direcció d’Atalis Funding , entén el seu deure de garantir la seguretat de la informació com a element essencial per a l’exercici correcte dels serveis d’Atalis Funding, i, per tant, suporta els objectius i principis següents:

  1. Implementar el valor de la Seguretat de la Informació al conjunt d’Atalis Funding.
  2. Contribuir totes i cadascuna de les persones d’Atalis Funding a la protecció de la Seguretat de la Informació.
  3. Preservar la confidencialitat, integritat, disponibilitat i resiliència de la informació, amb l’objectiu de garantir que es compleixin els requisits legals, normatius i dels nostres clients, relatius a la seguretat de la informació; i de forma específica pel que fa a dades de caràcter personal:
  4. Les dades seran tractades de manera lícita, lleial i transparent en relació amb linteressat (Licitud, lleialtat i transparència).
  5. Seran, recollits amb fins determinats, explícits i legítims, i no seran tractats ulteriorment de manera incompatible amb aquests fins (Limitació de la finalitat)
  6. Les dades seran adequades, pertinents i limitades al que sigui necessari en relació amb els fins per als quals són tractats (Minimització de dades).
  7. Les dades han de ser exactes i, si cal, actualitzades; s’adoptaran totes les mesures raonables perquè se suprimeixin o rectifiquin sense dilació les dades personals que siguin inexactes respecte a les finalitats per a les quals es tracten (Exactitud).
  8. Mantinguts de manera que es permeti la identificació dels interessats durant no més temps del necessari per als fins del tractament de les dades personals; les dades personals es poden conservar durant períodes més llargs sempre que es tractin exclusivament amb fins d’arxiu en interès públic, fins de recerca científica o històrica o fins estadístiques (Limitació del termini de conservació)
  9. Tractats de manera que es garanteixi una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant laplicació de mesures tècniques o organitzatives apropiades (Integritat i confidencialitat).
  10. Protegir els actius de la informació d’Atalis Funding d’amenaces, tant internes com externes, deliberades o accidentals, amb l’objectiu de garantir la continuïtat del servei ofert als nostres clients i la seguretat de la informació.
  11. Establir un pla de seguretat de la informació que integri les activitats de prevenció i minimització del risc dels incidents de seguretat sobre la base dels criteris de gestió del risc establerts per Atalis Funding.
  12. Proporcionar els mitjans necessaris per poder fer les actuacions pertinents de cara a la gestió dels riscos identificats.
  13. Assumir la responsabilitat en matèria de conscienciació i formació en matèria de seguretat de la informació com a mitjà per garantir el compliment daquesta política.
  14. Estendre el nostre compromís amb la seguretat de la informació al nostre personal treballador i proveïdors.
  15. Millorar contínuament la seguretat mitjançant l’establiment i el seguiment periòdic d’objectius de seguretat de la informació.

Aquesta Política serà mantinguda, actualitzada i adequada a les finalitats d’Atalis Funding, i s’alinearà amb el context de gestió de riscos d’Atalis Funding. A aquest efecte es revisarà a intervals planificats o sempre que es produeixin canvis significatius, a fi d’assegurar que se’n mantingui la idoneïtat, l’adequació i l’eficàcia.

De la mateixa manera, per gestionar els riscos que afronta Atalis Funding s‟estableix un procediment d‟avaluació de riscos formalment definit. Per la seva banda, totes les polítiques i procediments inclosos a l’SGSI seran revisats, aprovats i impulsats per la Direcció Atalis Funding.

MARC NORMATIU

La gerència d’Atalis Funding s’assegura que la documentació d’origen extern d’interès per al funcionament de l’empresa és coneguda pels empleats de l’empresa que ho necessiten i és mantinguda actualitzada i disponible en tot moment.

Per això s’utilitzen els mitjans definits en aquest document i els procediments que el desenvolupen.

Documents de referència

  • Esquema Nacional de Seguretat

ORGANITZACIÓ DE LA SEGURETAT

Comitès, funcions i responsabilitats

S’ha establert un comitè de seguretat format per:

  • Direcció general
  • Responsable de seguretat
  • Responsable dels sistemes
  • Responsable de protecció de dades
  • Responsable de la informació
  • Responsable del servei

Aquest comitè de seguretat té les funcions i responsabilitats següents:

  • Atendre les inquietuds de la direcció i de sistemes.
  • Obtenir una fotografia de l’estat de seguretat de la informació.
  • Promoure la millora contínua de l’SGSI.
  • Elaborar lestratègia devolució
  • Revisar la Política, Normativa i procediments almenys anualment
  • Aprovar els requisits de formació
  • Prioritzar actuacions
  • Promoure la realització d’auditories del SGI i tècniques.
  • Comprovar que la Seguretat de la Informació és present en tots els projectes

ROLS: FUNCIONS I RESPONSABILITATS

Direcció executiva

Participa a l’elaboració d’objectius i mesuraments. Aproveu les polítiques. Aproveu les revisions per direcció del SGSI. Valida les conclusions de les auditories de sistemes.

L’adreça executiva estableix l’organigrama d’Atalis Funding que conté més funcions i rols dels que s’especifiquen aquí. En aquesta política detallem els responsables relacionats amb la seguretat de la informació.

Responsable de seguretat

  • Promoure la seguretat de la informació manejada i dels serveis electrònics prestats pels sistemes d’informació, amb la responsabilitat i l’autoritat per assegurar-se que el Sistema de Gestió de la Seguretat de la Informació compleix els requisits de l’Esquema Nacional de Seguretat.
  • Supervisar el compliment de la present Política, de les seues normes, procediments derivats i de la configuració de seguretat dels sistemes.
  • Establir les mesures de seguretat, adequades i eficaces per complir els requisits de seguretat establerts pels Responsables del Servei i de la Informació, seguint en tot moment el que exigeix ​​l’Annex II de l’ENS, declarant l’aplicabilitat de les mesures esmentades.
  • Promoure les activitats de conscienciació i formació en matèria de seguretat al seu àmbit de responsabilitat.
  • Realitzar la coordinació i el seguiment de la implantació dels projectes d’adequació a la norma ENS, en col·laboració amb el Responsable de Sistemes.
  • Realitzar amb la col·laboració del Responsable del Sistema, les preceptives anàlisis de riscos, de seleccionar les salvaguardes a implantar i de revisar el procés de gestió del risc. Així mateix, juntament amb el Responsable del Sistema, acceptar els riscos residuals calculats a l’anàlisi de riscos.
  • Promoure auditories periòdiques per verificar el compliment de les obligacions en matèria de seguretat de la informació i analitzar els informes d’auditoria, elaborant les conclusions que cal presentar al Responsable del Sistema perquè adopti les mesures correctores adequades.
  • Coordinar el procés de Gestió de la Seguretat, en col·laboració amb el Responsable de Sistemes.
  • Determinar la categoria del sistema segons el procediment descrit a l’Annex I de l’ENS i les mesures de seguretat que s’han d’aplicar d’acord amb allò previst a l’Annex II de l’ENS.
  • Verificar que les mesures de seguretat són adequades per a la protecció de la informació i els serveis.

Responsable del sistema

  • Desenvolupar, operar i mantenir el sistema d’informació durant tot el cicle de vida, de les especificacions, instal·lació i verificació del funcionament correcte.
  • Assegureu-vos que les mesures específiques de seguretat s’integrin adequadament dins del marc general de seguretat.
  • Realitzar exercicis i proves sobre els procediments operatius de seguretat i els plans de continuïtat existents.
  • Implantar les mesures necessàries per garantir la seguretat del sistema durant tot el cicle de vida, d’acord amb el Responsable de Seguretat.
  • Realitzar amb la col·laboració del Responsable de Seguretat, les preceptives anàlisis de riscos, de seleccionar les salvaguardes a implantar i de revisar el procés de gestió del risc. Així mateix, juntament amb el Responsable de Seguretat, acceptar els riscos residuals calculats a l’anàlisi de riscos.
  • Elaborar en col·laboració amb el Responsable de Seguretat, la documentació de seguretat de tercer nivell (Procediments Operatius STIC i Instruccions Tècniques STIC).
  • Laplicació dels procediments operatius de seguretat.
  • Assegurar que els controls de seguretat establerts són estrictament complerts, així com assegurar que són aplicats els procediments aprovats per manejar el sistema d’informació.
  • Supervisar les instal·lacions de maquinari i programari, les seves modificacions i millores per assegurar que la seguretat no està compromesa i que en tot moment s’ajusten a les autoritzacions pertinents.
  • Monitoritzar l’estat de seguretat del sistema proporcionat per les eines de gestió d’esdeveniments de seguretat i mecanismes d’auditoria tècnica implementats al sistema.
  • Informar els respectius Responsables de qualsevol anomalia, compromís o vulnerabilitat relacionada amb la seguretat.
  • Col·laborar en la investigació i resolució d’incidents de seguretat, des de la detecció fins a la resolució.

Responsable de protecció de dades

  • Informar i assessorar el responsable de la informació i els seus empleats de les obligacions que els incumbeixen en relació amb el RGPD i altres disposicions de protecció de dades.
  • Supervisar el compliment del que disposa aquest Reglament, d’altres disposicions de protecció de dades de la Unió o dels Estats membres i de les polítiques del responsable o de l’encarregat del tractament en matèria de protecció de dades personals, inclosa l’assignació de responsabilitats, la conscienciació i la formació del personal que participa en les operacions de tractament, i les auditories corresponents.
  • Oferir l’assessorament que se us demani sobre l’avaluació d’impacte relativa a la protecció de dades i supervisar-ne l’aplicació de conformitat amb l’article 35.
  • Cooperar amb lautoritat de control.
  • Actuar com a punt de contacte de l’autoritat de control per a qüestions relatives al tractament, inclosa la consulta prèvia a què fa referència l’article 36, i fer consultes, si escau, sobre qualsevol altre assumpte.

Responsable del servei

  • Establir els requisits del servei en matèria de seguretat, incloent-hi els requisits dinteroperabilitat, accessibilitat i disponibilitat.
  • Determinar els nivells de seguretat del servei, dacord amb el Responsable de Seguretat i el Responsable del Sistema.
  • Mantenir la seguretat de la informació manejada i dels serveis prestats pels sistemes dinformació en el seu àmbit de responsabilitat.

Responsable de la informació

  • Vetllar pel bon ús de la informació i, per tant, de la protecció.
  • Establir els requisits de la informació en matèria de seguretat.
  • Determinar els nivells de seguretat de la informació tractada i valorar les conseqüències d’un impacte negatiu.

Usuaris i empleats

  • Complir la política de seguretat de la informació i les normes, els procediments i les instruccions complementàries.
  • Protegir i custodiar la informació de l’empresa, evitant la revelació, l’emissió a l’exterior, la modificació, l’esborrament o la destrucció accidental o no autoritzades o el mal ús independentment del suport o mitjans pel qual hagi estat accedida o coneguda.
  • Conèixer i aplicar la política de seguretat de la informació, les normes d’ús dels sistemes d’informació i la resta de polítiques, normes, procediments i mesures de seguretat aplicables.

Qualsevol conflicte o discrepància que pogués sorgir entre els responsables en matèria de seguretat de la informació, i que no es pogués resoldre de comú acord, serà elevat a la Direcció de l’organització, la decisió de la qual serà vinculant i haurà de quedar degudament documentada.

PROCEDIMENTS DE DESIGNACIÓ

La direcció d’Atalis Funding s’encarrega de fer uns nomenaments per designar rols i responsabilitats en seguretat de la informació, així com establir els comitès necessaris per vetllar pel compliment d’aquesta política. Aquests nomenaments i estructures internes romandran en documents interns.

POLÍTICA DE SEGURETAT DE LA INFORMACIÓ

Serà missió del Comitè de Seguretat la revisió anual d’aquesta Política de Seguretat de la Informació i la proposta de revisió o manteniment de la mateixa. La Política serà aprovada pel Comitè de Seguretat i difosa perquè la coneguin totes les parts afectades

GESTIÓ DE RISCOS

Tots els sistemes subjectes a aquesta Política hauran de fer una anàlisi de riscos, avaluant les amenaces i els riscos a què estan exposats. Aquesta anàlisi es repetirà:

  • Regularment, almenys una vegada a l’any
  • Quan canvieu la informació manejada
  • Quan canviïn els serveis prestats
  • Quan passi un incident greu de seguretat
  • Quan es reportin vulnerabilitats greus

Per a lharmonització de les anàlisis de riscos, el Comitè de Seguretat TIC establirà una valoració de referència per als diferents tipus dinformació manejats i els diferents serveis prestats. El Comitè de Seguretat TIC dinamitzarà la disponibilitat de recursos per atendre les necessitats de seguretat dels diferents sistemes, promovent inversions de caràcter horitzontal.

DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ

Aquesta Política es desenvoluparà per mitjà de normativa de seguretat que afrontarà aspectes específics a l’operativa dels usuaris d’IT d’Atalis Funding. La normativa de seguretat estarà a la disposició de tots els membres d’Atalis Funding que necessitin conèixer-la, en particular per a aquells que utilitzin, operin o administrin els sistemes d’informació i comunicacions.

La política de seguretat de la informació estarà disponible al lloc web Base de Dades de Subvencions – Atalis Funding –

OBLIGACIONS DEL PERSONAL

Tots els membres d’Atalis Funding tenen l’obligació de conèixer i complir aquesta Política de Seguretat de la Informació i la Normativa de Seguretat , i és responsabilitat del Comitè de Seguretat disposar els mitjans necessaris perquè la informació arribi als afectats.

Tots els membres d’Atalis Funding atendran una sessió de conscienciació en matèria de seguretat TIC almenys una vegada a l’any. S’establirà un programa de conscienciació continuada per atendre tots els membres d’Atalis Funding, en particular els de nova incorporació.

Les persones amb responsabilitat en l’ús, operació o administració de sistemes rebran formació per al maneig segur dels sistemes en la mesura que la necessitin per fer la feina. La formació serà obligatòria abans d’assumir una responsabilitat, tant si és la primera assignació o si es tracta d’un canvi de lloc de treball o de responsabilitats en aquest.

TERCERES PARTS

Quan Atalis Funding presti serveis a altres organismes o manegi informació d’altres organismes, se’ls farà partícips d’aquesta Política de Seguretat de la Informació, s’establiran canals per a reporti i coordinació dels Comitès de Seguretat respectius i s’establiran procediments d’actuació per a la reacció davant d’incidents de seguretat.

Quan Atalis Funding utilitzi serveis de tercers o cedeixi informació a tercers, se’ls farà partícips d’aquesta Política de Seguretat i de la Normativa de Seguretat que afecta aquests serveis o informació. Aquesta tercera part queda subjecta a les obligacions establertes en aquesta normativa, i pot desenvolupar els seus propis procediments operatius per satisfer-la. Sestabliran procediments específics de reporti i resolució dincidències. Es garantirà que el personal de tercers està adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que el que estableix aquesta Política.

Quan algun aspecte de la Política no pugui ser satisfet per una tercera part segons es requereix als paràgrafs anteriors, es requerirà un informe del responsable de Seguretat que necessiti els riscos en què s’incorre i la manera de tractar-los. Es requerirà laprovació daquest informe pels responsables de la informació i els serveis afectats abans de seguir endavant.