. tf aielels Politica Corporat .I. Introduccién La informacién es un activo estratégico para para las empresas que conforman Grupo SEIDOR (en adelante SEIDOR), como empresas cuya actividad principal se enmarca en la prestacién de servicios de Tecnologias de la Informacién, depende por tanto de los sistemas TI (Tecnologias de informa- cin) para alcanzar sus objetivos estratégicos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para proteger- los frente a dafios accidentales 0 deliberados que puedan afectar ala disponibilidad, integridad, con- fidencialidad, autenticidad, 0 trazabilidad de la in- formacién tratada o los servicios prestados. El objetivo de la seguridad de la informacién es ga- rantizar la calidad de la informacion y la prestacién continuada de los servicios, actuando preventiva- mente, supervisando la actividad diaria y reaccio- nando con présteza a las incidencias. Los: sistemas Tl deben estar protegidos. contra amenazas de répida evolucién con potencial para incidir en la disponibilidad, integridad, confidencia- lidad, autenticidad, trazabilidad, uso previsto y va- lor de la informaci6n y los servicios. Para defender- se de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del ‘entorno para garantizar la prestacién continua:de los servicios. Esta implica que se deben aplicar las medidas. de seguridad exigidas por el Sistema de Gestion de la Seguridad de la Informacién Corporativo, (SGSI) donde se encuentran integrados los requisites de! Esquema® Nacional de Seguridad (ENS), SEIDOR realiza un seguimiento continuo de los criterios y requisitos establecidos en-la legislacién que le es de aplicacién, como el Real Decreto 3/2010, de 8 de enero, por el que se regula el: Esquema Nacio- nal de Seguridad en el Ambito de la Administracién Electrénica (ENS), la Ley Organica 3/2018, de 5 de diciembre, de Proteccién de Datos Personales y ga- rantia de los derechos digitales (LOPDGDD), el Re- glamento de la Unién Europea 2016/679 relativo a la proteccién del tratamiento de datos personales (RGPD) y normas internacional mente reconocidas como son la ISO .27001 y la ISO 20000-1, asi como realizar un seguimniento continuo de los niveles de pole Sep @scicor prestacién de servicios, seguir y analizar las vulne- rabilidades reportadas, y preparar una respuesta efectiva a las incidencias para garantizar la conti- nuidad de los servicios prestados. Segtin, lo que establece el propio RD 3/2010 en su articulo 10 la existencia de tres figuras diferencia- das que forman parte, siendo: +Responsable de la informacién: Determinaré los requisites de la informacién tratada +Responsable del servicio: Determinara los requisi- tos de los servicios prestados. +Responsable de seguridad: Determinaré las deci- siones para satisfacer los requisitos de seguridad de la informacién y de los servicios. SEIDOR debe asegurar que la seguridad de la in- formacién es una parte integral de cada etapa del Ciclo de vida de los sistemas Tl, desde su concep cin hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisicién y las activi. dades dé explotacién, Los requisitos de seguridad y las necesidades de financiacién deben ser identi- ficados e incluidos en la planificacién, en la solicitud de ofertas, y en propuestas de externalizacién de proyectos de TI.Il. Objeto SEIDOR define la presente Politica de Seguridad de la Informacién como objetivo fundamental garan- tizar la seguridad de la informacién y la prestacién continuada de los servicios que proporciona, ac- tuando preventivamente, supervisando la actividad y reaccionando con presteza frente a las inciden- clas que puedan ocurrir. Esta Politica debe sentar las bases para que el ac- ce50, uso, custodia y salvaguarda de los activos de informacién, de los que se sirve a SEIDOR para de- sarrollar sus funciones, se realicen, bajo garantias de seguridad, en sus distintas dimensiones: -Disponibilidad: propiedad o caracteristica de los activos consistentes en que las entidades 0 proce- 50 autorizados tengan acceso a los mismos cuan- do lo requieran, sintegridad: propiedad o caracteristica consistente en que el activo de informacién no sea alterado de manera no autorizada. *Confidencialidad: propiedad o caracteristica con- sistente en que la informacién ni se ponga a dis- posicién, ni se revele a individuos, entidades o procesos no autorizados. sAutenticidad: propiedad o caracteristica consis- tente en que una entidad sea quien dice ser 0 bien que garantice la fuente de la que proceden los datos. “Trazabilidad: propiedad o caracteristica consisten- te en que las actuaciones de una entidad puedan ser imputadas exclusivamente a dicha entidad. Bajo estas premisas los objetivos espectficos de la Seguridad de la informacién en SEIDOR seran: *Velar por la seguridad de la informacién, en las distintas dimensiones antes descritas. @scicor *Gestionar formalmente la seguridad, sobre la base de procesos de andlisis de riesgos. +Elaborar, mantener y probar los planes de dispo- nibilidad y continuidad de la actividad que se de- finan para los distintos servicios ofrecidos por la organizacién. +Realizar una adecuada gestién de incidencias que afecten ala seguridad de la informacién. *Mantener informado a todo el personal acerca de los requerimientos de seguridad, y difundir bue- nas précticas para el manejo seguro de la infor- macién. *Proporcionar los niveles de seguridad acordados con terceras partes cuando se compartan 0 ce- dan activos de informacién. *Cumplir con la reglamentacién y normativa vigen- te, +La Politica de Seguridad: *Se aprobara formalmente por la Direccién Gene- ral. +Se revisard regularmente, de manera que se adap- te a las nuevas circunstancias, técnicas u organi- zativas, y evite la obsolescen *Se comunicaré a todos los empleados y empresas externas qué trabajen con SEIDOR CCorporatva Seguridad de la nformaciénIll. Misi6n El propésito de esta Politica de la Seguridad de la Informacién es proteger la informacién y los servi cios de SEIDOR. *SEIDOR reconoce expresamente la importancia de la informacién, asi como la necesidad de su pro- teccién, por constituir un activo estratégico y vital, hasta el punto de poder llegar a poner en peligro la continuidad de la organizacién, o al menos su- poner dafios muy importantes, si se produjera una pérdida total e irreversible de determinados datos. *SEIDOR implementa, mantiene y realiza un segui- miento de los controles contenidos en su decla- racién de aplicabilidad y los procesos del SGSI, conforme a las normas ENS, RGPD, LOPDGDD, 1SO 27010 e1SO 20000-1 principalmente, y cumple con todos los requisitos legales aplicables. ‘La informacién y los servicios estan protegidos contra pérdidas de disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. *Se cumplen los requisitos del servicio respecto a la seguridad de la informacién y los sistemas de informacién. +Los controles seran proporcionales a la cri de los activos a proteger y a su clasificacién. +La responsabilidad de la seguridad de la informa- cién involucrada en la prestacién de los servicios incluidos en el alcance es de la Direccién General, que pondra los medios adecuados, sin perjuicio de que los empleados o usuarios asuman su par- te de responsabilidad respecto a los medios que utiliza, segtin lo indicado en las politicas, normati- vas y en los procedimientos complementarios. En el punto 6 “Organizacién de la Seguridad" de este mismo documento se describen las funciones y responsabilidades del Comité de Ciberseguridad, que gestionaré la seguridad de la informacién, y de sus miembros. *Quienes desemperien la funcién de Seguridad de la Informacién y otras de administracién relacio- nadas, serdn quienes administren la seguridad. Se ha identificado a los responsables de la infor- macién, que deberan promover el establecimien- icidad @scicor to de los controles y medidas destinadas a prote- ger los datos que la integran, especialmente los de cardcter personal o criticos. +*Se ha establecido dentro de la normativa un siste- ma de clasificacién de la informacién, con diferen- tes niveles. *Se han establecido y puesto a disposicién, los me- dios necesarios y adecuados para la proteccién de personas, datos, programas, equipos, instalacio- nes, documentacién y otros soportes que conten- gan informacién, y, en general, de cualquier activo de SEIDOR, Los aspectos especificos mas relacionados con la informacién sobre datos personales estén regula- dos por el conjunto de normas recogidas en este documento de seguridad y en la normativa inter- nao de otra indole a la que pueda remitir o que se cite. *Quienes no cumplan lo determinado en estas nor- mas y en los procedimientos complementarios podran ser sancionados de acuerdo con la legisla- cién laboral y el convenio colectivo de referencia, © bien con sanciones personalizadas si estan vin- culados a SEIDOR bajo contratos no laborales, de acuerdo con las cléusulas que figuren en dichos contratos y la legislacién aplicable en este titimo caso. +Se realizan periédicamente evaluaciones de ries- g05 y, en funcién de las debilidades, se determina si es necesario elaborar planes de implantacién 0 reforzamiento de controles. +*Se fomenta la difusién de informacién y formacién en seguridad a empleados y colaboradores, previ- niendo la comisién de errores, omisiones, fraudes © delitos, y tratando de detectar su posible exis- tencia lo antes posible, y en caso de que existie- ren, procuréndose una difusién muy restringida de las indagaciones, +El personal de SEIDOR deberd conocer las normas, reglas, esténdares y procedimientos relacionados con su puesto de trabajo, asi como sus funciones y obligaciones, ademas de la separacién de fun- iones y la revision independiente de los registros,Ill. Mision ‘cuando sea necesario, de quién ha hecho qué, cuando y desde dénde. +Las incidencias de seguridad se comunican y tra- tan apropiadamente. @ seiclor | ates corperaiva Segui deb vormctnIV. Alcance La presente Politica de Seguridad se aplica a todas las empresas que componen el grupo de empresas de SEIDOR y a sus sistemas y activos de informa- cin: “A todos los departamentos, tanto a sus directivos como a empleados. *Alos contratistas, clientes o cualquier otra tercera parte que tenga acceso a la informacién o los sis temas de la organizacién. *Abases de datos, ficheros electrénicos y en sopor- te papel, tratamientos, equipos, soportes, progra- mas y sistemas, “Ala informacién generada, procesada y almacena- da, independientemente de su soporte y formato, utilizada en tareas operativas 0 administrativas. *Ala informacién cedida dentro de un marco legal establecido, que seré considerada como propia a efectos exclusivos de su proteccién. *A todos los sistemas utilizados para administra y gestionar la informacién, sean propios o alquila- dos 0 licenciados por la misma. rporativa Seguridad de fa @scidor | =n0 eee Ree eee