Medidas de seguridad a cumplir por el encargado del tratamiento (o “LA EMPRESA”)

Medidas de seguridad a cumplir por el encargado del tratamiento (o “LA EMPRESA”)

El encargado del tratamiento dispone de las siguientes medidas de seguridad:

Políticas de seguridad de la información aprobadas, publicadas y comunicadas a los empleados que lo necesitaran para su trabajo.

Organización de la seguridad de la información 

  • Existe un marco de gestión para controlar la seguridad de la información dentro de la empresa, en el que las responsabilidades están asignadas y las funciones en materias de seguridad de la información separadas en roles o individuos.
  • Existe una política y unas medidas de seguridad adecuadas para gestionar los riesgos derivados de la utilización de dispositivos móviles.
  • Las medidas de seguridad que se aplican en el teletrabajo, en el caso de estar implementado en la empresa, son equivalentes a las existentes en los lugares de trabajo de la oficina.

Seguridad relativa a los recursos humanos 

Se han adoptado medidas para asegurar que:

  • Los empleados entienden sus responsabilidades y son aptos para las funciones que llevan a cabo.
  • Los empleados conocen y cumplen con sus responsabilidades en seguridad de la información tanto durante la vigencia de la relación como tras la finalización de la relación laboral.

Medidas de protección de los activos relacionados con el tratamiento de la información (por ejemplo, ordenadores, teléfonos, tablets…), en particular: 

  • Existe un inventario de los activos existentes en la empresa y se mantiene actualizado.
  • Está definido quién es el propietario del activo (sobre quién recae la responsabilidad técnica) y la información asociada al mismo.
  • Existe una política sobre las reglas de uso aceptable del activo y de la información asociada al mismo.
  • Se ha comunicado a los empleados la obligación de devolver el activo y/o la información asociada al mismo al finalizar la relación laboral.
  • Se han implementado medidas para que la información asociada al activo esté clasificada y etiquetada según su valor, sensibilidad y criticidad para la empresa, de acuerdo con lo dispuesto en la política de clasificación de la información.
  • Existe un registro completo y actualizado de soportes de información extraíbles.

Control de acceso a los activos relacionados con el tratamiento de la información: 

Existe una política de control de acceso y se han implementado medidas para limitar el acceso a los usuarios autorizados, tales como:

  • Un registro de usuarios y la existencia de un procedimiento para conceder y/o revocar el acceso de los usuarios al activo.
  • Restricción y control de los accesos privilegiados a los activos.
  • Revisión periódica de los derechos de acceso de los usuarios, deshabilitado el acceso a los usuarios que han finalizado su relación laboral.
  • Implementación de medidas para que los usuarios se hagan responsables de proteger su información de autenticación al activo.
  • Implementación de un sistema de gestión de contraseñas interactivo que asegure la robustez y seguridad de las contraseñas.

Criptografía 

Existencia de una política de uso de controles criptográficos para proteger la seguridad de la información e implementación de medidas para gestionar el uso, protección y duración de las claves de cifrado.

 

Seguridad física y del entorno: áreas seguras 

Adopción de medidas para prevenir el acceso físico no autorizado, los daños e interferencia a la información de la organización y a los recursos de tratamiento de la información, tales como:

  • Creación de perímetros de seguridad física para proteger las áreas seguras (las que disponen de información sensible y recursos de tratamiento de información).
  • Controles físicos de entrada para asegurar que únicamente se permite el acceso a las áreas seguras al personal autorizado.
  • Implementación de procedimientos para trabajar en las áreas seguras.
  • Medidas de protección física de la información contra las amenazas externas y ambientales.

Seguridad de los equipos 

Adopción de medidas para evitar la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la organización, tales como:

  • Emplazamiento y protección de los equipos para reducir los riesgos, entre otros los ambientales, así como las posibilidades de que produzca un acceso no autorizado.
  • Protección de los equipos contra fallos de alimentación y otras alteraciones causadas por fallos en el suministro.
  • Protección del cableado eléctrico y de telecomunicaciones (que transmite datos o que sirve de soporte a los servicios de información) contra interceptaciones, interferencias o daños.
  • Mantenimiento correcto de los equipos para asegurar su disponibilidad y su integridad.
  • Implementación de medidas para evitar que los equipos, información o software salgan de las instalaciones sin autorización previa.
  • Implementación de medidas de seguridad en los equipos situados fuera de las instalaciones.
  • Antes de reutilizar o deshacerse del activo, adopción de medidas para eliminar la información existente en ellos.
  • Adopción de medidas de protección cuando los equipos quedan desatendidos.
  • Mantenimiento del escritorio y la pantalla limpios y despejados.

Seguridad de las operaciones de negocio

  • Existencia de procedimientos operacionales a disposición de los usuarios.
  • Control de los cambios en la organización, los procesos de negocio, las instalaciones de procesamiento de información y los sistemas que afectan a la seguridad de información.
  • Supervisión y ajuste del uso y capacidad de los recursos, con el fin de garantizar el rendimiento requerido del sistema.
  • Separación de los recursos de desarrollo, prueba y producción.
  • Controles para recuperar la información, prevenir y detectar códigos maliciosos.
  • Copias de seguridad del software y/o de la información asociada al activo y verificación periódica.
  • Registro, protección y revisión de los eventos relacionados con la actividad del usuario, los errores y las alertas de seguridad del sistema.
  • Protección de los dispositivos de registro y la información contra manipulaciones indebidas y accesos no autorizados.
  • Obtención, evaluación y adopción de medidas en caso de vulnerabilidades técnicas.

Seguridad de las comunicaciones

Adopción de medidas para controlar las redes y así proteger la información de los sistemas.

 

Intercambio de información

Adopción de medidas para garantizar la seguridad de la información que se transfiere dentro de la empresa y con terceros, mediante la implementación de políticas, acuerdos de confidencialidad y controles, en particular, en la transmisión de mensajes electrónicos.

 

Adquisición, desarrollo y mantenimiento de los sistemas de información

Establecimiento de medidas para garantizar que los sistemas de información incluyen medidas para garantizar la seguridad de la información que tratarán durante todo su ciclo de vida.

Desarrollo de aplicaciones y sistemas IT 

  • Establecimiento de medidas para garantizar la seguridad de la información que va a ser tratada en las aplicaciones informáticas y sistemas que se desarrollen, utilizando técnicas de programación segura tanto para los nuevos desarrollos como en situaciones de reutilización de código.
  • Implementación de procedimientos de control de cambios en los sistemas, con el fin de asegurar su integridad. Entre otras medidas, se efectuarán pruebas del nuevo software en un entorno segregado de los entornos de explotación y desarrollo.
  • Revisión de aplicaciones de negocio críticas, tras efectuar cambios en el sistema operativo, con el fin de garantizar que no existen adversos en las operaciones de negocio o la seguridad de la empresa.
  • Establecimiento de medidas para evitar, en lo posible, que los paquetes de software suministrados por el proveedor se modifiquen. En caso de ser necesaria su modificación, establecimiento de medidas para conservar el software original y aplicar los cambios en una copia identificada.
  • Análisis de riesgos de seguridad de las nuevas tecnologías y revisión del diseño contra los patrones de ataque conocidos.
  • Protección de los entornos de desarrollo de sistemas (conjunto de procesos y herramientas que se utilizan para desarrollar un código fuente o programa), teniendo en cuenta, entre otros, el control de acceso a los entornos de desarrollo, la sensibilidad de los datos a tratar o la honradez del personal que trabaja en el entorno.
  • Implementación de pruebas de seguridad, de aceptación de los sistemas y de los datos de prueba.

Relación con los proveedores 

  • Adopción de medidas de seguridad para asegurar la protección de los activos de la organización que sean accesibles a los proveedores.
  • Establecimiento de medidas de seguridad en los contratos con los proveedores para gestionar los riesgos de seguridad derivados del acceso, comunicación y tratamiento de información por parte de los proveedores en aplicaciones informáticas y/o sistemas.
  • Control de las medidas de seguridad adoptadas por los proveedores que prestan servicios a la empresa.
  • Revisión de las medidas de seguridad, en el caso de cambios en la prestación del servicio del proveedor, teniendo en cuenta la criticidad de los procesos y sistemas de negocio afectados.

Gestión de incidentes de seguridad de la información 

  • Existencia de un procedimiento, con responsabilidades asignadas, en el que se regula como gestionar de un modo efectivo, rápido y adecuado un incidente de seguridad de la información.
  • Existencia de un procedimiento en que se regula como deben notificarse los incidentes de seguridad dentro y fuera de la empresa.
  • Adopción de medidas para que los empleados comuniquen cualquier punto débil o amenaza que observen o que sospechen que exista, en los sistemas o servicios.
  • Adopción de medidas para evaluar si los incidentes de seguridad deben ser clasificados con incidentes de seguridad que afectan a datos personales.
  • Evaluación de los incidentes de seguridad de la información ocurridos para reducir la probabilidad o el impacto de los incidentes en el futuro.
  • Existencia de un procedimiento que regula la recopilación de evidencias en caso de sufrir un incidente de seguridad.

Aspectos de seguridad de la información para la gestión de la continuidad de negocio

  • Planificación de las necesidades y de las medidas seguridad que deberán ser adoptadas para preservar la continuidad del negocio y la seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o desastre.
  • Implementación de las medidas para asegurar un nivel adecuado de seguridad de la información en caso de producirse situaciones adversas.
  • Supervisión de las medidas de seguridad adoptadas a intervalos regulares para asegurar su eficacia en situaciones adversas.

Implementación de sistemas redundantes, esto es, duplicidad de datos o hardware de carácter crítico para asegurar la disponibilidad de los recursos de tratamiento de la información.

 

Cumplimiento 

  • Existe un sistema de gestión para identificar, definir y mantener actualizada la legislación aplicable y los requisitos contractuales relativos a la seguridad de la información de la empresa.
  • Implementación de medidas para garantizar el cumplimiento de los derechos de propiedad intelectual de materiales y software patentado.
  • Protección de los registros de la organización para evitar su pérdida, destrucción, falsificación, revelación o acceso no autorizados.
  • Adopción de medidas para garantizar la protección y privacidad de los datos de conformidad con la legislación vigente.
  • Regulación de controles criptográficos para que su utilización sea adecuada a la normativa.
  • Revisión del sistema de gestión de la seguridad, a intervalos planificados o siempre que se produzcan cambios significativos.
  • Supervisión por parte de los directivos para que todos los procedimientos de seguridad, dentro de su área de responsabilidad, se apliquen correctamente.
  • Controles periódicos para garantizar que los sistemas de información cumplen las políticas y normas de seguridad de la empresa.