Política de seguridad SGSI
Última actualización 14 de febrero de 2025
El presente documento tiene por objeto establecer la política de seguridad de la información para UNIWAY TECHNOLOGIES, asegurando así la autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad de los sistemas de información de UNIWAY TECHNOLOGIES y por supuesto, garantizando el cumplimiento de todas las obligaciones legales aplicables.
Ámbito de aplicación
La política de seguridad de la información será de obligado cumplimiento para todos los usuarios de sistemas de UNIWAY TECHNOLOGIES y aplicable a los activos empleados para prestar los servicios ofrecidos a los clientes, afectando a la información tratada por medios electrónicos.
Será de obligado cumplimiento para todo el personal que acceda tanto a los sistemas de información como a la propia información que sea gestionada por la organización, con independencia de cuál sea su destino, adscripción o relación con el mismo.
Aprobación y comunicación
Esta política ha sido aprobada el día 14/02/2025 por el director general de UNIWAY TECHNOLOGIES.
Esta Política de Seguridad de la Información es efectiva y aplicable desde dicha fecha y hasta que sea reemplazada por una nueva Política.
Esta política, debe ser conocida y asumida por todas las partes interesadas y deben establecerse los procedimientos necesarios para ello, a través de los canales corporativos de comunicación.
La revisión de la política de seguridad de la información debe ser revisada regularmente a intervalos planificados o si ocurren cambios significativos para asegurar la continua idoneidad, eficacia y efectividad de la misma. En caso de que se incorporen modificaciones, se informará a todas las partes interesadas de dicha revisión y actualización.
Principios de la seguridad de la información
Se establecerán las siguientes directrices fundamentales de seguridad, las cuales ayudarán a evitar comprometer la confidencialidad, integridad y disponibilidad de los servicios, así como de la información asociada.
Estableciéndose los siguientes principios:
1. Compromiso de los órganos superiores: La seguridad de la información cuenta con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de la Empresa para conformar un todo coherente y eficaz, en muestra de este compromiso la Dirección General velara por el cumplimiento del presente documento, manteniéndolo actualizado y aprobado en la Empresa, proporcionando todos los medios económicos y logísticos para la constitución, implantación, mantenimiento y evolución del ENS.
2. Proceso Integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información. Asegurándose de promover conocimiento y concienciación en Seguridad de la Información entre sus empleados.
3. Gestión de la seguridad basada en Riesgos: Se desarrolla el estudio y la evaluación de los riesgos que puedan poner en peligro la seguridad de la información. Así mismo, se aplicarán las medidas necesarias para mitigar estos riesgos en base a su criticidad. Realizando evaluaciones periódicas que permitan obtener el estado de la gestión del tratamiento del riesgo y principalmente tras incidentes de seguridad.
4. Prevención, reacción y recuperación: La seguridad del sistema contemplará aspectos de prevención, detección y corrección, para conseguir que las amenazas no afecten a la información y los servicios que presta, para ello se efectuaran ciclos de gestión basados en la planificación de los riesgos y su medida, la implantación de las medidas de seguridad y en la posterior reevaluación de las mismas.
5. Línea de defensa: Se implantarán los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus usuarios, teniendo por prioridad ganar tiempo para una reacción adecuada ante los incidentes, reduciendo la probabilidad de que el sistema sea comprometido y que minimice el impacto final sobre el mismo.
6. Reevaluación periódica: La Dirección General realizara una revaloración periódica de las medidas de seguridad para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, realizando auditoria y marcándose objetivos como compromiso de mejora continua del sistema.
7. Responsabilidad diferenciada: En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad sobre la prestación de los servicios y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.
Marco legal y regulatorio
UNIWAY TECHNOLOGIES tendrá en cuenta los requerimientos dispuestos por el marco legal aplicable y regulatorio en el que se desarrollan las actividades.
Identificando los siguientes reglamentos y normativas:
• RGPD: Reglamento Europeo de Protección de Datos - Reglamento (UE) 2016/679 - entró en vigor el 25 de mayo de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
• ENS: La Ley 11/2007, de 22 de junio y posteriormente aprobado por El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, y su posterior modificación en el Real Decreto 951/2015, de 23 de octubre, que constituye los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
• EIDAS: Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
• Ley de Propiedad Intelectual: relacionado con el tratamiento y regulación de cualquier obre con derechos de propiedad intelectual para cubrir los requisitos de la Ley 1/1996 ante la copia no autorizada o distribución de software licenciado.
Normativas:
• ISO/IEC-27001 “Sistemas de Gestión de la Seguridad de la Información”
Misión y objetivos
UNIWAY TECHNOLOGIES tiene como fin la prestación de servicios de datacenter, cloud y servicios gestionados en relación con sistemas telemáticos, que se prestan a entidades dentro de las entidades públicas, Cuerpos de seguridad del Estado, empresas del sector industria, etc.
La dirección de UNIWAY TECHNOLOGIES en alineación con la responsabilidad de mejora continua del SGSI ha establecido un marco de referencia para el establecimiento de los objetivos de seguridad de la información, dicho marco y los objetivos están detallados en la herramienta de GlobalSUITE y en el documento “Objetivos SGSI y ENS.docx”.
La misión de Uniway es ofrecer soluciones tecnológicas innovadoras y de alta calidad que permitan a nuestros clientes optimizar sus recursos, mejorar su eficacia y reducir costes, mediante el uso de tecnologías apastadas a sus necesidades. Uniway no es un proveedor más, llevamos mas de 20 años enfocados en la prestación de Servicios gestionados y Servicios Profesionales en nuestra propuesta clientes, siempre desde la perspectiva de cobertura completa que abarque todas las necesidades de un departamento de Gestión de la tecnología y comunicaciones.
Nuestra visión de futuro es convertirnos en un referente en el sector de las tecnologías de la informacion, comunicaciones y Ciberseguridad gestionada siendo un socio estratégico para las empresas en su transformación digital y contribuyendo al éxito de sus procesos de negocio.
Los valores en los que se basa Uniway son:
• Innovación: Nos comprometemos a ofrecer soluciones tecnológicas avanzadas que aporten valor y mantengan a los clientes en la vanguardia del sector.
• Compromiso: Nuestro equipo está comprometido con el éxito y la satisfacción de nuestros clientes, brindando un soporte constante y personalizado.
• Flexibilidad: Adaptamos nuestras soluciones a las necesidades de cada cliente, ofreciendo modelos modulares y servicios escalables.
• Calidad: Priorizamos la excelencia en todos nuestros procesos, desde la atención al cliente hasta la implementación de las soluciones tecnológicas.
• Confianza: Fomentamos relaciones de largo plazo basadas en la transparencia, el respeto y la fiabilidad en todos nuestros servicios.
Organización e implementación del proceso de seguridad
UNIWAY TECHNOLOGIES identifica una serie de roles y responsabilidades asociadas a los mismos en materia de seguridad de la información.
La responsabilidad de la seguridad de la información en UNIWAY TECHNOLOGIES recae en la Dirección General.
La Dirección General es responsable de organizar las funciones y responsabilidades, la política de seguridad y de facilitar los recursos adecuados para alcanzar los objetivos propuestos.
La Dirección General de UNIWAY TECHNOLOGIES también establece una serie de roles y responsabilidades en materia de seguridad y gestión de los servicios, considerándose los siguientes puestos.
Roles y Responsabilidades del SGSI y ENS
Comité de SGSI
El Comité es responsable de organizar las funciones y responsabilidades, la política de seguridad y de facilitar los recursos adecuados para alcanzar los objetivos propuestos.
El Comité del SGSI está encargado de realizar las siguientes funciones dentro de la organización:
• Apoyar al responsable del SGSI para que sus decisiones sean llevadas a cabo con éxito. Decidir, tras las revisiones del sistema, aquellas acciones necesarias para la mejora continua del mismo.
• Establecer, revisar y aprobar la Política de Gestión del Sistema anualmente o cuando se produzcan cambios significativos en la misma.
• Definir el enfoque que se debe dar a la evaluación y gestión riesgos para la consecución de los objetivos definidos.
• Informar a la alta dirección sobre el comportamiento y oportunidades de mejora del SGSI. Comunicar a la organización la importancia de lograr los objetivos de seguridad de la información y cumplir la política establecida a tal efecto, así como la necesidad de mejora continua.
• Aprobar el Análisis de Riesgo, Aprobar el Plan de Tratamiento.
• Asegurar que se realicen las auditorías internas del SGSI. En general, aprobar, al menos, la siguiente documentación:
o Objetivos de Seguridad
o SLAs establecidos
Se establece que el Propietario del Riesgo es el Comité del SGSI, a quien corresponden las funciones de decidir el NRA y aprobar el nivel del riesgo residual.
Se indicará así mismo en el documento “Metodología de Análisis de Riesgos.docx” que el propietario del Riesgo es el Comité del SGSI.
El Comité se reunirá tantas veces como lo designen sus integrantes, pero al menos se deberá reunir una vez al año, de manera ordinaria. En caso de que el Comité lo considere oportuno y debido a circunstancias que así lo requieran, se podrán convocar reuniones extraordinarias. A las reuniones del Comité se podrán invitar, de manera extraordinaria, a todas aquellas personas que el Comité considere oportunas según los temas a tratar. El Responsable del SGSI realiza una convocatoria previa, enviado por correo electrónico a todos los componentes Comité, así como a aquellas personas que se consideren oportunas, el orden del día con todos los puntos a tratar en dicha reunión. Las conclusiones acordadas en las reuniones del Comité quedarán registradas en un acta, la cual debe ser firmada por todos los integrantes y guardada como evidencia de la asistencia y registro del funcionamiento del mismo.
El Comité del SGSI debe comunicar y difundir diferentes obligaciones, procedimientos y normas a los trabajadores de UNIWAY TECHNOLOGIES. Este proceso se realizará mediante correo electrónico a todos los implicados indicando la documentación concreta que se está difundiendo, así como su objetivo y contenido. El comunicado será enviado por un integrante del comité.
Se difundirán al menos los siguientes documentos:
• Política de Seguridad de la Información
• Requerimientos y objetivos de seguridad del SGSI.
• Cumplimiento normativo. Será necesaria la contestación por parte de todo el personal afectado indicando su comprensión
Responsable del SGSI
El Responsable del SGSI tiene atribuidas las siguientes funciones:
• Implementar, coordinar y mantener el Sistema de Gestión de Seguridad de la Información (SGSI). Elaborar y actualizar la documentación del SGSI.
• Revisar y mantener actualizada la documentación y la Política de Seguridad de la información, así como la evaluación de riesgos, revisando regularmente el análisis de riesgos a intervalos planificados o si ocurren cambios significativos para asegurar la continua idoneidad, eficacia y efectividad del mismo, así como de los controles implantados.
• Garantizar que el sistema funciona, reaccionando ante cualquier evento y evolucionando hacia la mejora continua, manteniendo informada a la alta Dirección sobre las oportunidades detectadas
• Analizar los informes de auditoría y elevar al Comité las conclusiones de este análisis. Controlar y gestionar los riesgos de seguridad del Sistema de Gestión Integrado. Garantizar la Confidencialidad, Integridad y Disponibilidad de los sistemas de información. Asegurar el cumplimiento de planes y objetivos de Sistema de Gestión de Seguridad de la
• Información. Establecer los criterios para la definición de los derechos de acceso de los usuarios o perfiles de usuarios. Actualizar el Documento de Seguridad y adecuación del mismo a la normativa vigente.
• Mantener una relación actualizada de los usuarios o perfiles de usuarios del sistema, indicando sus derechos de acceso.
• Adoptar las medidas necesarias para que el personal conozca las normas en materia de seguridad que afectan al desarrollo de sus funciones y de las consecuencias en que pudieran incurrir en caso de incumplimiento.
• Establecer mecanismos para evitar que un usuario acceda a datos o recursos con derechos distintos a los autorizados
• Verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y recuperación de los datos.
• Conceder, anular o alterar los derechos de acceso, conforme con los criterios establecidos. Coordinar y controlar las medidas definidas en la Política de Seguridad de la información
• Analizar los informes de auditoría y elevar al responsable del fichero las conclusiones del análisis del informe de auditoría
• Verificar que las medidas de seguridad física y lógica implantadas protegen los datos de carácter personal.
Obligaciones
• Guardará secreto de la información de carácter personal que conozca en el desempeño de su función aun después de haber abandonado la organización.
• Velará porque se concedan y revoquen oportunamente las autorizaciones para acceder a los datos de los cuales sea responsable.
• Conocer la normativa interna en materia de seguridad, y especialmente la referente a protección de datos de carácter personal. Dicha normativa puede consistir en: normas, procedimientos, reglas y estándares, así como posibles guías.
• Conocer las consecuencias que se pudieran derivar y las responsabilidades en que pudiera incurrir en caso de incumplimiento de la normativa, que podrían derivar en sanciones.
• No intentar saltar los mecanismos y dispositivos de seguridad, evitar cualquier intento de acceso no autorizado a datos o recursos, informar de posibles debilidades en los controles, y no poner en peligro la disponibilidad de los datos, ni la confidencialidad o integridad de los mismos.
• No ceder ni comunicar a otros las contraseñas, que son personales, que no estarán almacenadas en claro, y que serán transmitidas por canales seguros; los usuarios serán responsables ante la entidad de todos los accesos y actividades que se puedan haber realizado utilizando su código de usuario y contraseña.
• Velar por el correcto cumplimento de la normativa legal aplicable, especialmente en materia de protección de datos personales y propiedad intelectual.
• Proteger las copias de datos que en su caso estuvieran en su poder. Llevar a cabo revisiones periódicas del SGSI.
Responsable de la información
Este cargo tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección. Este es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
Se asigna al Responsable de la Información la potestad de establecer los requisitos de la información en materia de seguridad o, la potestad de determinar los niveles de seguridad de la información.
Responsable del servicio
Se asigna al Responsable del Servicio la potestad de establecer los requisitos del servicio en materia de seguridad o la potestad de determinar los niveles de seguridad de los servicios.
La prestación de un servicio siempre debe atender a los requisitos de seguridad de la información que maneja (a veces se dice que ‘se heredan los requisitos’), y suele añadir requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc.
Responsable de la seguridad
Sus responsabilidades son las siguientes:
• Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Empresa.
• Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
Y sus tareas:
• Determinación de la categoría del sistema.
• Análisis de riesgos.
• Declaración de aplicabilidad.
• Medidas de seguridad adicionales.
• Documentación de seguridad del sistema.
• Elaborar la normativa de seguridad.
• Aprobar los procedimientos operativos de seguridad.
• Reportar al comité el estado de la seguridad del sistema.
• Elaborar junto al responsable de sistemas los planes de mejora de la seguridad.
• Elaborar los planes de concienciación y formación.
• Validar los planes de continuidad.
• Aprobar el ciclo de vida: especificación, arquitectura, desarrollo, operación, cambios.
Responsable del sistema y Administrador de seguridad
Es el responsable y administrador de todos los sistemas y los accesos a los ficheros y recursos de Uniway en función de las directrices marcadas por el Responsable de Seguridad.
Sus funciones y obligaciones son:
• Se encarga de administrar y monitorizar el correcto funcionamiento del sistema incluyendo cambios de versiones, administración de acceso y realización de copias de respaldo.
• Conocer la normativa interna en materia de seguridad, y especialmente la referente a protección de datos de carácter personal. Dicha normativa puede consistir en: políticas, normas, procedimientos reglas y estándares, así como posibles guías.
• Conocer las consecuencias que se pudieran derivar y las responsabilidades en que pudiera incurrir en caso de incumplimiento de la normativa, que podrían derivar en sanciones.
• Utilizar los controles y medios que se hayan establecido para proteger tanto los datos de carácter personal como los propios sistemas de información y sus componentes: los ficheros automatizados, los programas, los soportes y los equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.
• No intentar saltar los mecanismos y dispositivos de seguridad, evitar cualquier intento de acceso no autorizado a datos o recursos, informar de posibles debilidades en los controles, y no poner en peligro la disponibilidad de los datos, ni la confidencialidad o integridad de los mismos.
• Usar de forma adecuada según la normativa los mecanismos de identificación y autenticación ante los sistemas de información, tanto sean contraseñas como sistemas más avanzados.
• No ceder ni comunicar a otros las contraseñas, que son personales, que no estarán almacenadas en claro, y que serán transmitidas por canales seguros.
• Realizar las copias de los datos que en cada caso se establezcan en la normativa, así como proteger las copias obtenidas.
• Cumplir la normativa en cuanto a gestión de soportes informáticos que contengan datos de carácter personal, así como tomar precauciones en
Otros roles del SGSI
El resto de los roles relacionados con el SGSI se definen más detalladamente en el documento de Funciones y obligaciones generales para todo el personal.docx.
Responsabilidades unificadas, segregación y resolución de conflictos
En UNIWAY TECHNOLOGIES existen responsabilidades unificadas de modo que en la misma persona u órgano ejerce de responsable de la información y del servicio.
El artículo 10 del Esquema Nacional de Seguridad recoge el principio de “La seguridad como función diferenciada”. Este principio exige que el Responsable de la Seguridad sea independiente del Responsable del Sistema, no obstante, en caso de conflicto este deberá ser resuelto por el superior jerárquico. Esto debería concretarse para el caso de cada organización, acorde con la normativa.
Estructura intermedia
En UNIWAY TECNOLOGIES, los roles y responsabilidades identificadas en esta política se ajustan a la siguiente estructura intermedia basada en 3 roles:
Gobierno: figura que integra las siguientes funciones:
• Responsable de la información
• Responsable del servicio
La persona que ocupa el rol de dirección es: Hassan Kalantari Bornak.
Supervisión: figura que reporta a Dirección y que desarrolla la función de Responsable de la Seguridad.
La persona que ocupa el rol de Supervisión es: María José Martínez Fernández
Operación: figura que integra las siguientes funciones:
• Responsable del sistema
• Administrador de seguridad
La persona que ocupa el rol de Operación es: Sergio Ruiz.
El responsable de Seguridad se asegura de que estos roles son comunicados y aceptados por las partes interesadas y que éstos han entendido sus funciones y obligaciones para con la organización en materia de seguridad y gestión del servicio.
La organización dispone de una jerarquía y un proceso de aprobación que establece los requisitos para cambios y resoluciones de conflicto dentro de la organización.
Procedimiento de designación
Todos los nombramientos de los roles que identifica el Esquema Nacional de Seguridad serán llevados a cabo por el Director General de UNIWAY TECNOLOGIES Estos nombramientos serán revisados, al menos, cada dos años o cuando exista la necesidad.
Profesionalidad
Todas las actividades relacionadas con la seguridad de los sistemas están atendidas, revisadas y auditadas por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.
Adquisición de productos de seguridad
UNIWAY TECHNOLOGIES valora positivamente la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones cuya funcionalidad esté certificada. Esta certificación deberá estar de acuerdo con las normas y estándares reconocidas internacionalmente, en el ámbito de la seguridad funcional.
Este procedimiento determina la necesidad de cubrir las necesidades de seguridad en función del uso previsto del producto, el nivel de evaluación y las certificaciones de seguridad adicionales.
Seguridad por defecto
Los sistemas de UNIWAY TECHNOLOGIES se configuran de tal forma que:
• Proporcionen la mínima funcionalidad requerida para que la organización alcance sus objetivos y ninguna función adicional.
• Las funciones de operación, administración y registro de actividad serán las mínimas necesarias y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos autorizados, poniendo si fuera necesario restricciones de horarios y puntos de accesos facultados.
• En un sistema de explotación se eliminarán o desactivarán, mediante le control de la configuración, las funcionalidades innecesarias o que no sean de interés.
• El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.
Integridad y Actualización del sistema
Todos los elementos físicos o lógicos de UNIWAY TECHNOLOGIES requieren una autorización formal previa a la instalación en el sistema.
Se deberá conocer en todo momento el estado de la seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de la seguridad de los mismos.
Protección de la información Almacenada y en tránsito
UNIWAY TECHNOLOGIES presta especial atención a la información almacenada o en tránsito a través de entornos inseguros. Tendrán la consideración de entornos inseguros los equipos portátiles, asistentes personales (PDA), dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.
UNIWAY TECHNOLOGIES considera como parte de la seguridad los procedimientos que aseguren la recuperación y conservación a largo plazo de los documentos electrónicos producidos.
Prevención ante otros sistemas de información interconectados
Se protegerá el perímetro, especialmente si la conexión se produce desde o hacia redes públicas. En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión.
Registros de Actividad
UNIWAY TECHNOLOGIES registrará las actividades de los usuarios, siempre cumpliendo la legislación aplicable en cada caso, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
Continuidad de la actividad
Los sistemas disponen de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.
Gestión Documental
UNIWAY TECHNOLOGIES en alineación con los requerimientos del ENS, es partícipe de una gestión documentada de creación, actualización y control de la documentación de seguridad, dicho procedimiento queda detallado en el fichero, “Uniway gestión documental”.