El objetivo de esta Política de Seguridad es garantizar la seguridad de toda la información estableciendo las medidas organizativas, técnicas, físicas y legales, necesarias para proteger los activos de información contra accesos no autorizados, divulgación, duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo o mal uso, que se pueda producir de forma intencionada o accidental. Es aplicable y de obligado cumplimiento para todo el personal de la empresa que pueda realizar cualquier tratamiento de datos de carácter personal o pueda acceder a los locales donde se traten dichos datos, incluyendo el personal de proveedores externos, cuando sean usuarios de los Sistemas de Información de la entidad.
En el ámbito de la presente normativa, se entiende por usuario cualquier empleado perteneciente o ajeno la entidad, así como personal de organizaciones públicas o privadas externas, entidades colaboradoras o cualquier otro con algún tipo de vinculación con la empresa y que utilice o posea acceso a los Sistemas de Información de la empresa.
En el Registro de Actividades de tratamiento de la entidad se describen detalladamente cada uno de los tratamientos, junto con el entorno corporativo que les afectan.
El entorno corporativo o activos de información que sirven de medio directo o indirecto para acceder a la información, deben ser controlados por esta normativa, a saber:
1. Los centros de tratamiento y locales donde se encuentren ubicada la información o se almacenen los soportes que los contengan.
2. Los puestos de usuario, bien locales o remotos, desde los que se pueda tener acceso a la información.
3. Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el que se encuentran almacenados los datos.
4. Los sistemas informáticos, o aplicaciones establecidos para acceder a los datos.
5. Los Medios de Archivo y soportes, bien de copias de seguridad o de ficheros en papel.
La organización facilitará a los usuarios que así lo precisen los equipos informáticos y dispositivos de comunicaciones, tanto fijos como móviles, necesarios para el desarrollo de su actividad profesional. Así pues, los datos, dispositivos, programas y servicios informáticos que la empresa ponga a disposición de los usuarios deben utilizarse para el desarrollo de las funciones encomendadas, es decir, para fines profesionales. Cualquier uso de los recursos con fines distintos a los autorizados está estrictamente prohibido.
En general, el ordenador personal será el recurso informático que permitirá el acceso de los usuarios a los Sistemas de Información y servicios informáticos, constituyendo un elemento muy importante en la cadena de seguridad de los sistemas de información, razón por la que es necesario adoptar una serie de precauciones y establecer normas para su adecuada utilización.
Con carácter general, la información almacenada de forma local en los ordenadores personales de los usuarios (disco duro local, por ejemplo) no será objeto de salvaguarda mediante ningún procedimiento corporativo de copia de seguridad. Por tanto, cuando tal almacenamiento esté autorizado en las normas internas correspondientes, se recomienda a los usuarios la realización periódica de copias de seguridad, especialmente de la información importante para el desarrollo de su actividad profesional.
La organización puede poner a disposición de ciertos usuarios unidades de red compartidas para contener las salvaguardadas periódicas de sus unidades locales. Debe tenerse en cuenta que tales unidades corporativas son un recurso limitado y compartido por todos los usuarios, por lo que sólo deberá salvaguardarse la información que se considere estrictamente necesaria.
No está permitido almacenar información privada, de cualquier naturaleza, en los recursos de almacenamiento compartidos o locales, salvo autorización previa del Responsable de Seguridad
ACCESO Y PERMANENCIA DE TERCEROS EN LAS INSTALACIONES
Los terceros ajenos que, eventualmente, permanezcan en los edificios, instalaciones o dependencias de la entidad, deberán observar las siguientes normas:
1. El personal ajeno que temporalmente deba acceder a los Sistemas de Información deberá hacerlo siempre bajo la supervisión de algún miembro acreditado de la organización y previa autorización del Responsable de Seguridad.
2. Cualquier incidencia que surja antes o en el transcurso del acceso a las instalaciones deberá ponerlo en conocimiento del Responsable de Seguridad. Su función será dar asesoramiento, atender consultas o necesidades, transmitir instrucciones, ponerle al corriente de sus cometidos, objetivos, etc.
3. Para los accesos de terceros a los sistemas de información, siempre que sea posible, se les crearán usuarios temporales que serán eliminados una vez concluido su trabajo. Si, de manera excepcional, tuvieran que utilizar identificadores de usuarios ya existentes, una vez finalizados dichos trabajos, se procederá al cambio inmediato de las contraseñas de los usuarios utilizados.
4. Tales personas, en lo que les sea de aplicación, deberán cumplir puntualmente la presente Política de Seguridad.
5. La acreditación personal que se le proporcione en el Control de Acceso deberá portarse en lugar visible en todo momento, debiendo ser entregada a la salida.
6. Una vez en el interior de los edificios, dependencias o instalaciones, los terceros sólo tendrán autorización para permanecer en el puesto de trabajo que les haya sido asignado y en las zonas de uso común (aseos, comedor, zona de máquinas de cafetería, etc.).
7. Asimismo, deberán tener autorización del Responsable de Seguridad cuando tengan necesidad de realizar desplazamientos entre distintos departamentos.
8. Los terceros atenderán siempre los requerimientos que le hiciere el personal de control y seguridad de los edificios, instalaciones o dependencias a los que tuvieren acceso.
CONFIDENCIALIDAD DE LA INFORMACIÓN
1. Como medida de protección de la información propia, confiada o tratada por la organización está absolutamente prohibido el envío al exterior de información, electrónicamente, mediante soportes informáticos o por cualquier otro medio, que no hubiere sido previamente autorizada por el Responsable de Seguridad.
2. Todo el personal de la organización o ajeno a la misma que, por razón de su actividad profesional, hubiera tenido acceso a información gestionada por la entidad (tal como datos personales, documentos, metodologías, claves, análisis, programas, etc.) deberán mantener sobre ella, por tiempo indefinido, una absoluta reserva.
3. En el caso de entrar en conocimiento de información que no sea de libre difusión, en cualquier tipo de soporte, deberá entenderse que dicho conocimiento es estrictamente temporal mientras dure la función encomendada, con la obligación de secreto o reserva indefinidas y sin que ello le confiera derecho alguno de posesión, titularidad o copia del mismo. Asimismo, se deberán devolver los soportes de información utilizados inmediatamente después de la finalización de las tareas que hubieren originado su uso.
4. Los usuarios sólo podrán acceder a aquella información para la que posean las debidas y explícitas autorizaciones, en función de las labores que desempeñen, no pudiendo en ningún caso acceder a información perteneciente a otros usuarios o grupos de usuarios para los que no se posea tal autorización.
5. Los derechos de acceso a la información y a los Sistemas de Información que la tratan deberán siempre otorgarse en base a los principios de mínimo privilegio posible y necesidad de conocer.
6. La información contenida en los Sistemas de Información es propiedad de la organización, por lo que los usuarios deben abstenerse de comunicar, divulgar, distribuir o poner en conocimiento o al alcance de terceros (externos o internos no autorizados) dicha información, salvo autorización expresa del Responsable de Seguridad.
7. Los soportes de información que vayan a ser reutilizados o causen baja deberán ser previamente tratados para eliminar permanentemente la información que pudieran contener, de manera que resulte imposible su recuperación. Estos soportes deberán entregarse al Responsable de Seguridad.
8. Se evitará almacenar información sensible, confidencial o protegida en medios desatendidos (tales como memorias USB, listados, etc.) o dejar visible tal información en la misma pantalla del ordenador.
TRATAMIENTO DE LA INFORMACIÓN
Toda la información contenida en los Sistemas de Información o que circule por sus redes de comunicaciones debe ser utilizada únicamente para el cumplimiento de las funciones encomendadas a su personal.
Cualquier tratamiento en los Sistemas de Información, deberá ser conforme con la normativa vigente, especialmente con lo dispuesto en la normativa europea RGPD 679/2016 y la Ley Orgánica 3/2018. en materia de Protección de Datos.
Queda prohibido, asimismo, transmitir o alojar información sensible, confidencial o protegida en servidores externos a la organización salvo autorización expresa del Responsable de Seguridad, que comprobará la inexistencia de trabas legales para ello y verificará la suscripción de un contrato expreso entre la organización y la empresa responsable de la prestación del servicio, incluyendo los Acuerdos de Nivel de Servicio que procedan, el correspondiente Acuerdo de Confidencialidad, y siempre previo análisis de los riesgos asociados a tal externalización.
USO DEL CORREO ELECTRÓNICO CORPORATIVO
El correo electrónico corporativo es una herramienta de mensajería electrónica centralizada, puesta a disposición de los usuarios para el envío y recepción de correos electrónicos mediante el uso de cuentas de correo corporativas.
Se trata de un recurso compartido por todos los usuarios de la organización, por lo que un uso indebido del mismo repercute de manera directa en el servicio ofrecido a todos.
Por ello, se dictan las siguientes normas de uso.
1. Todos los usuarios que lo precisen para el desempeño de su actividad profesional dispondrán de una cuenta de correo electrónico, para el envío y recepción de mensajes internos y externos a la organización.
2. Únicamente podrán utilizarse las herramientas y programas de correo electrónico suministrados, instalados y configurados por la organización.
3. El correo corporativo deberá utilizarse, única y exclusivamente, para la realización de las funciones encomendadas al personal, quedando totalmente prohibido el uso privado del mismo.
4. Se deberá notificar al Responsable de Seguridad cualquier tipo de anomalía detectada, así como los correos no deseados (spam) que se reciban, a fin de configurar adecuadamente las medidas de seguridad oportunas.
5. Se deberá prestar especial atención a los ficheros adjuntos en los correos recibidos. No deben abrirse ni ejecutarse ficheros de fuentes no fiables, puesto que podrían contener virus o código malicioso. En caso de duda sobre la confiabilidad de los mismos, se deberá notificar esta circunstancia al Responsable de Seguridad.
6. Está terminantemente prohibido suplantar la identidad de un usuario de internet, correo electrónico o cualquier otra herramienta colaborativa.
7. Para verificación y monitorización, los datos de conexión y tráfico se guardarán en un registro durante el tiempo que establezca la normativa vigente en cada supuesto. En ningún caso esta retención de datos afectará al secreto de las comunicaciones.
Las siguientes actuaciones están explícita y especialmente prohibidas:
1. El envío de correos electrónicos con contenido inadecuado, ilegal, ofensivo, difamatorio, inapropiado o discriminatorio por razón de sexo, raza, edad, discapacidad, que contengan programas informáticos (software) sin licencia, que vulneren los derechos de propiedad intelectual de los mismos, de alerta de virus falsos o difusión de virus reales y código malicioso, o cualquier otro tipo de contenidos que puedan perjudicar a los usuarios, identidad e imagen corporativa y a los propios sistemas de información de la organización.
2. El acceso a un buzón de correo electrónico distinto del propio y el envío de correos electrónicos con usuarios distintos del propio.
3. La difusión de la cuenta de correo del usuario en listas de distribución, foros, servicios de noticias, etc., que no sean consecuencia de la actividad profesional del usuario.
4. Responder mensajes de los que se tenga sospechas sobre su autenticidad, confiabilidad y contenido, o mensajes que contengan publicidad no deseada.
5. La utilización del correo corporativo como medio de intercambio de ficheros especialmente voluminosos sin autorización, y el envío de información sensible, confidencial o protegida
6. La utilización del correo corporativo para recoger correo de buzones que no pertenezcan a la organización o el reenvío automático del correo corporativo a buzones ajenos a la organización. Para ello se necesitará la autorización expresa del Responsable de Seguridad.
INCIDENCIAS DE SEGURIDAD
Cuando un usuario detecte cualquier anomalía o incidencia de seguridad que pueda comprometer el buen uso y funcionamiento de los Sistemas de Información o su imagen, deberá informar inmediatamente al Responsable de Seguridad, que lo registrará debidamente y elevará, en su caso.
COMPROMISOS DE LOS USUARIOS
1. Es responsabilidad directa del usuario:
Custodiar las credenciales que se le proporcionen y seguir todas las recomendaciones de seguridad que elabore el Responsable de Seguridad, para garantizar que aquellas no puedan ser utilizadas por terceros. Deberá cerrar su cuenta al terminar la sesión o bloquear el equipo cuando lo deje desatendido.
Garantizar la disponibilidad de toda la información importante alojada en el equipo del usuario -si no residiera en los servidores corporativos-, mediante la realización de copias de seguridad periódicas.
2. Además de lo anterior, no se podrá acceder a los recursos informáticos y telemáticos para desarrollar actividades que persigan o tengan como consecuencia:
El uso intensivo de recursos de proceso, memoria, almacenamiento o comunicaciones, para usos no profesionales.
La degradación de los servicios.
La destrucción o modificación no autorizada de la información, de manera premeditada.
La violación de la intimidad, del secreto de las comunicaciones y del derecho a la protección de los datos personales.
El deterioro intencionado del trabajo de otras personas.
Dañar intencionadamente los recursos informáticos de la organización.
Incurrir en cualquier otra actividad ilícita, sea del tipo que sea.
14. USO ABUSIVO DE LOS SISTEMAS DE INFORMACIÓN.
1. El uso de Internet, del correo electrónico y el acceso al resto de los servicios y sistemas informáticos, estará debidamente controlado para todos los usuarios. Si se hiciese un uso abusivo o inapropiado de estos servicios, se podrán adoptar las medidas disciplinarias que consideren oportunas, sin perjuicio de las acciones civiles o penales a las que hubiere lugar.
2. Con carácter general, se enumeran seguidamente un conjunto de acciones que se consideran uso abusivo de los sistemas de información.
USO ABUSIVO DEL ACCESO A INTERNET
1. Acceso a otras redes, con el propósito de violar su integridad o seguridad.
2. Acceso a contenidos no relacionados con los cometidos profesionales del usuario, tales como:
a. Acceder, recuperar o visualizar textos o gráficos que excedan los límites de la ética.
b. Almacenar en el puesto de trabajo del usuario o en los servidores de la organización, archivos personales.
c. Transferencia de ficheros no relativa a las actividades profesionales del usuario (tales como juegos, ficheros de sonido, fotos, videos o películas, etc.).
d. Realizar cualquier actividad de promoción de intereses personales.
e. Publicación o envío de información no solicitada.
f. Publicación o envío de información sensible, confidencial, protegida o propiedad de la organización a personas, empresas o sistemas de información externos no autorizados. En este sentido, los usuarios se comprometen a garantizar la privacidad de estos datos y contraseñas de acceso, así como a evitar la difusión de los mismos.
g. Publicación o envío de mensajes a través de Internet que contengan amenazas, ofensas o imputación de hechos que puedan lesionar la dignidad personal y, en general, la utilización del servicio de Internet de manera ilegal o infringiendo cualquier norma interna que pudiera resultar de aplicación.
h. Empleo de utilidades de intercambio de información en Internet. Uso de Internet para propósitos que puedan influir negativamente en la imagen de la organización o de sus representantes o de los organismos públicos o privados con los que se mantiene relación.
USO ABUSIVO DEL CORREO ELECTRÓNICO
1. Utilizar el correo electrónico para fines distintos a los derivados de las actividades profesionales del usuario, especialmente:
a. Intercambiar contenidos (textos o gráficos) que excedan los límites de la ética.
b. Transferencia de ficheros ajena a las actividades profesionales del usuario.
c. Realizar cualquier actividad de promoción de intereses personales.
d. Usar cualquier la cuenta de correo de la organización para enviar mensajes o cartas en cadena y/o correos basura o spam (correo electrónico no solicitado).
2. Usar cualquier cuenta de correo de la organización para enviar mensajes que contengan amenazas, ofensas o imputación de hechos que puedan lesionar la dignidad personal y, en general, la utilización del correo electrónico de manera ilegal o infringiendo cualquier norma que pudiera resultar de aplicación.
3. Revelar a terceros el contenido de cualquier dato reservado o confidencial propiedad de la organización o de terceros, salvo que tal actuación fuera realizada en cumplimiento de fines estrictamente profesionales con el previo consentimiento de los afectados.
MONITORIZACIÓN Y APLICACIÓN DE ESTA NORMATIVA
1. La organización, por motivos legales, de seguridad y de calidad del servicio, y cumpliendo en todo momento los requisitos que al efecto establece la legislación vigente:
Revisará periódicamente el estado de los equipos, el software instalado, los dispositivos y redes de comunicaciones de su responsabilidad.
Monitorizará los accesos a la información contenida en sus sistemas.
Auditará la seguridad de las credenciales y aplicaciones.
Monitorizará los servicios de internet, correo electrónico y otras herramientas de colaboración.
2. Se llevará a cabo esta actividad de monitorización de manera proporcional al riesgo, con las cautelas legales pertinentes y las señaladas en la jurisprudencia y con observancia de los derechos de los usuarios.
3. Los sistemas en los que se detecte un uso inadecuado o en los que no se cumplan los requisitos mínimos de seguridad, podrán ser bloqueados o suspendidos temporalmente. El servicio se restablecerá cuando la causa de su inseguridad o degradación desaparezca. El Responsable de Seguridad, con la colaboración de los restantes departamentos velará por el cumplimiento de la presente Política de Seguridad e informará al Responsable de Tratamiento sobre los incumplimientos o deficiencias de seguridad observados, al objeto de que se tomen las medidas oportunas.
4. El sistema que proporciona el servicio de correo electrónico podrá, de forma automatizada, rechazar, bloquear o eliminar parte del contenido de los mensajes enviados o recibidos en los que se detecte algún problema de seguridad o incumplimiento de las normas del presente documento.
5. El sistema que proporciona el servicio de conexión a internet podrá contar con filtros de acceso que bloqueen el acceso a páginas web con contenidos inadecuados, programas lúdicos de descarga masiva o páginas potencialmente inseguras o que contengan virus o código dañino. Igualmente, el sistema podrá registrar y dejar traza de las páginas a las que se ha accedido, así como del tiempo de acceso, volumen y tamaño de los archivos descargados. El sistema permitirá el establecimiento de controles que posibiliten detectar y notificar al Responsable de Seguridad.
