Política de Seguridad

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE SUMINISTRADORES

Ponemos en conocimiento de nuestros proveedores la existencia de Directrices de Seguridad de la Información establecidas en nuestra organización para mostrar el compromiso de AFINKIA en la protección y garantía de los principios de: confidencialidad, integridad, autenticidad y disponibilidad de la información manejada en la Organización.

Trabajamos bajo un Sistema de Gestión de Seguridad de la Información, cuyo alcance no sólo afecta al uso de los activos, sino que se extiende a todas las personas y terceros en el conocimiento y cumplimiento de estas Directrices estructuradas acorde a la norma ISO/IEC 27001:2013. Tanto la Política como las Directrices de Seguridad de la Información, están en línea con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Esta regulación en materia de seguridad incide en los siguientes campos de la Organización:

• Acceso a las instalaciones. En la que se regulan las normas de acceso, haciendo especial mención a los accesos a áreas seguras y regulación del acceso a personas ajenas a la organización.
• Acceso a la red corporativa. Los recursos corporativos son protegidos con los medios de seguridad técnicos necesarios para asegurar la protección de la información, ya sea desde las propias instalaciones o de forma externa. El acceso y el uso de la información están reguladas por normas enfocadas a la protección con especial atención a información sensible o confidencial.
• Uso de los activos. Las personas en AFINKIA se comprometen a hacer un uso racional y velar por el cuidado de los equipos proporcionados por la Organización para el desempeño de sus funciones y tareas. En este sentido se describen normas de actuación y se aplican configuraciones encaminadas a la protección de la información contenida en estos dispositivos.
• Uso de Internet. Especial atención se realiza en la regulación del uso de Internet, correo electrónico y almacenamiento en la nube a usos profesionales con el objetivo de minimizar riesgos que puedan producirse con un uso no regulado de dichas herramientas.
• Gestión de incidencias. La implicación de las personas de AFINKIA en materia de seguridad ayuda a detectar posibles problemas que puedan poner en peligro la confidencialidad, integridad y disponibilidad los servicios o activos que soportan.
• Continuidad de negocio. Todos los medios implantados para la disponibilidad y continuidad del negocio están en línea con los requerimientos de los esquemas ISO certificados en la organización.
• Propiedad intelectual. Protegida con el compromiso de las personas de AFINKIA conforme a las normas de confidencialidad de la organización.

La violación de las Políticas y las directrices de Seguridad está sujetas a sanción de acuerdo con los mecanismos habilitados en la legislación vigente.

Tanto la política (SGSI02-PolíticaDeSeguridad) como las directrices (SGSI04-DirectricesGestionSeguridad) son revisadas periódicamente para alinearlas con las necesidades de la organización.

El Comité de Dirección conoce la importancia de estas Políticas y participa activamente en la revisión de las mismas.

POLÍTICA DE SEGURIDAD ENS

1 Introducción

La presente Política de Seguridad de la Información se elabora en cumplimiento de la exigencia del Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS),en el ámbito de la Administración Electrónica, que en su artículo 11 establece la obligación a las Administraciones Públicas y a los proveedores de servicios de las Administraciones públicas de disponer de una Política de Seguridad e indica los requisitos mínimos que debe cumplir.

Esta Política de Seguridad sigue también las indicaciones de la guía CCN-STIC-805 del Centro Criptológico Nacional (CCN), centro adscrito al Centro Nacional de Inteligencia (CNI).

Ley 40/2015, de Régimen Jurídico del Sector Público establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados y recoge el Esquema Nacional de Seguridad en su artículo 156.

Mientras que la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13 sobre derechos de las personas en sus relaciones con las Administraciones Públicas el relativo a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

La finalidad del ENS es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

La adaptación al ENS implica que Afinkia y su personal deben aplicar las medidas mínimas de seguridad exigidas por el propio ENS, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Las diferentes unidades de gestión de Afinkia deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.

Los requisitos de seguridad y los costes asociados deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Ponemos en conocimiento de nuestros proveedores la existencia de Directrices de Seguridad de la Información establecidas en nuestra organización para mostrar el compromiso de AFINKIA en la protección y garantía de los principios de: confidencialidad, integridad, autenticidad y disponibilidad de la información manejada en la Organización.

Las unidades de gestión de Afinkia deben estar preparadas para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 7 del ENS.

1.1. Prevención
Afinkia debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, se deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, la organización debe:

• Autorizar los sistemas antes de entrar en operación.
• Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
• Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

1.2. Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, se debe monitorizar la operación de manera continuada para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

1.3. Respuesta

Afinkia debe:

• Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
• Designar puntos de contacto para las comunicaciones con respecto a incidentes detectados en áreas de la entidad o en otros organismos relacionados con Afinkia.
• Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT) reconocidos a nivel nacional como Iris-CERT, CCN-CERT y otros equivalentes.

1.4. Recuperación
Para restaurar la disponibilidad de los servicios, se deberán desarrollar planes de contingencia de los sistemas TIC que incluyan actividades de recuperación de la información que contribuyan a la continuidad del servicio.

2. Misión

Afinkia tiene como misión prestar servicios de asistente digital para administradores de fincas.

El principal sector de actuación de Afinkia son los agentes administradores de fincas. Ofrece soluciones que permiten una gestión integral de todos los agentes, facilitando la comunicación multicanal tanto con clientes como con proveedores. Simplifica las gestiones con las comunidades de propietarios, automatiza los procesos y mejorando las relaciones.

Además, la empresa está altamente comprometida con la tecnología de vanguardia diseñada para automatizar procesos y mejorar la comunicación digital.

3. Alcance

Afinkia aplicará la presente Política de Seguridad sobre aquellos sistemas que están relacionados con el ejercicio de desarrollo de las aplicaciones utilizadas por las administraciones públicas y que están relacionados con el ejercicio de derechos por medios electrónicos, con el cumplimiento de deberes por medios electrónicos o con el acceso a la información o al procedimiento administrativo.

De forma concreta, atendida la misión de Afinkia definida en el punto 2, la presente Política de Seguridad es aplicable sobre los Sistemas de Información que dan soporte a las actividades de desarrollo software, implantación y asistencia.

La organización desestima la aplicación de la presente Política de Seguridad sobre aquellos sistemas de información no reflejados en este apartado.

4. Marco normativo complementario

En el desarrollo e implementación de esta política se tendrán en cuenta los Estatutos de Afinkia, así como sus normativas de desarrollo relacionadas con los objetivos de este.

5. Organización de la seguridad

Pueden distinguirse tres (3) niveles en el organigrama de Afinkia:

• Nivel 1 – Dirección general:

Secretario General, que entiende la misión de la organización, determina los
objetivos que se propone alcanzar y responde que se alcancen.

• Nivel 2 – Dirección Ejecutiva:

Servicios, que entienden qué hace cada unidad de gestión y cómo las
diferentes unidades se coordinan entre sí para alcanzar los objetivos
marcados por la Dirección.

• Nivel 3: Operacional

Se centra en una actividad concreta y controla cómo se hacen las cosas.

Siguiendo el mismo esquema y de acuerdo con el ENS se estructura un organigrama de seguridad Afinkia en 3 niveles:

• Nivel 1:
  • Comité de Seguridad Corporativa (cso)
  • Comité de seguridad de la información(ciso)
  • Responsable de la Información.
  • Responsable del Servicio

• Nivel 2:
  • Responsable de la Seguridad de la Información.

• Nivel 3:
  • Responsables de los Sistemas de Información.

La especificación de requisitos de seguridad (Nivel 1) corresponde a los responsables de la información y de los servicios, junto con el responsable del fichero si hubiera datos de carácter personal. La operación (nivel 3) corresponde a los responsables de los sistemas, mientras que la supervisión corresponde al responsable de la seguridad (nivel 2).

Por encima de todos ellos existe el Comité de Coordinación y Gestión de la Seguridad (nivel 1). Este Comité de Seguridad puede asumir también la responsabilidad de la Información y de los Servicios.

La descripción concreta de las responsabilidades puede consultarse en el
documento: SGS01-Roles y Responsabilidades.docx

5.1. Procedimientos de designación

El desempeño de las responsabilidades definidas en esta Política de Seguridad vendrá determinado por el acceso a los diferentes cargos que se han vinculado a ellas. En el caso de que desapareciese o cambiara de denominación alguno de estos cargos será competencia de Dirección de Afinkia asignar el nuevo puesto al que quedará vinculada la figura.

6. Datos de carácter personal

Afinkia realiza tratamientos en los que hace uso de datos de carácter personal sometidos a lo dispuesto por el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016.

Las políticas de seguridad aplicables a estos tratamientos se rigen por el Registro de Tratamiento de Datos Personales de Afinkia, en él se relacionan los tratamientos de datos afectados por el Reglamento.

Todos los sistemas de información de Afinkia se ajustarán a la seguridad requerida por la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Tratamiento de Datos.

7. Gestión de riesgos

Todos los sistemas sujetos a esta Política de Seguridad realizarán un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

• Regularmente, al menos una vez al año.
• Cuando cambie la información manejada.
• Cuando cambien los servicios prestados.
• Cuando ocurra un incidente grave de seguridad.
• Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información gestionados y los diferentes servicios prestados.

8. Desarrollo de la Política de Seguridad

Esta Política se desarrolla por medio de Normativa de Seguridad que afronte aspectos específicos. La Normativa de Seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

Otros documentos que complementan esta Política de Seguridad son:

• El Registro de Tratamiento de Datos Personales de Afinkia.
• Normativa de seguridad y política de seguridad del SGSI de Afinkia.
• La normativa de seguridad estará disponible en la aplicación de gestión de documentación utilizada por Afinkia.

9. Obligaciones del personal

Todos los miembros de Afinkia tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad del Comité de Seguridad disponer de los medios necesarios para que la información llegue a los afectados, teniendo en cuenta siempre las disponibilidades presupuestarias de Afinkia.

Todos los trabajadores de Afinkia bajo el alcance del ENS atenderán a una acción de concienciación en materia de seguridad TIC, al menos, una vez cada dos años. Se establecerá un programa de acciones en concienciación continua para atender a todos los miembros de Afinkia relacionados con desarrollos de aplicaciones relacionadas con la administración pública, en particular a los de nueva incorporación, teniendo en cuenta siempre las disponibilidades presupuestarias de Afinkia. Se realizará una acción de concienciación durante los dos años siguientes a la aprobación de esta Política de Seguridad y de manera continuada para el personal de nueva incorporación.

En su caso, si se requiere formación específica para el manejo seguro de los sistemas, las personas con responsabilidad en la operación o administración de sistemas TIC la recibirán en la medida en que la necesiten para realizar su trabajo.

10. Terceras partes

Cuando Afinkia preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad de la Información. Para ello, se establecerán canales para informe y coordinación de los respectivos Comités de Seguridad del ENS y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando Afinkia utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad que implique a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la mencionada normativa. Con ello, el proveedor deberá garantizar que su personal está adecuadamente formado en materia de seguridad de acuerdo con los requerimientos de Afinkia.

11. Entrada en vigor

La presente Política de Seguridad de la Información es efectiva desde el día siguiente al de su fecha de aprobación por la Dirección de Afinkia y hasta que sea reemplazada por una nueva Política.

Anexo A. Glosario de términos

• Análisis de riesgos : Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
• Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables en el Reglamento General de Protección de Datos Personales.
• Gestión de incidentes: Plan de acción para atender a las incidencias que se den. Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas. ENS.
• Gestión de riesgos : Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. ENS.
• Incidente de seguridad: Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información. ENS.
• Información: Caso concreto de un cierto tipo de información.
• Política de seguridad: Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que consideran críticos. ENS.
• Principios básicos de seguridad: Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios. ENS.
• Responsable de la información: Persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
• Responsable de la seguridad: El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
• Responsable del servicio: Persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.
• Responsable del sistema: Persona que se encarga de la explotación del sistema de información.
• Servicio: Función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses o satisfacer necesidades de los ciudadanos.
• Sistema de información: Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

Anexo B. Abreviaturas

• CCN: Centro Criptológico Nacional
• CERT: Computer Emergency Reaction Team
• ENS: Esquema Nacional de Seguridad
• STIC: Seguridad TIC
• TIC: Tecnologías de la Información y las Comunicaciones

Anexo C. Referencias

• CCN-STIC-402 Organización y Gestión para la Seguridad de los Sistemas TIC. Diciembre 2006.
• CCN-STIC-801 ENS – Responsables y Funciones. 2010.
• Ley 11/2007 Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. BOE de 23 de junio de 2007.
• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016

Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos)

• RD 951/2015

Real Decreto 951/2015, de 23 de octubre por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica