• Sistema de gestión de la seguridad de la información

    ISO 27001:2022

    Netics Communications, SLU, depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos empresariales. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.

    El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza ante cualquier incidente.

    Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la disponibilidad, integridad, confidencialidad, autenticidad, trazabilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.

    Esto implica que Netics Communications, SLU y su personal debe aplicar las medidas mínimas de seguridad exigidas la norma internacional ISO/IEC 27001:2022, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

    Los diferentes integrantes de Netics Communications, SLU deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.

    Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en los proyectos TIC.

    Netics Communications, SLU debe estar preparada para prevenir, detectar, dar respuesta y conservar la información necesaria con el fin de minimizar las vulnerabilidades y eliminar o reducir las amenazas antes de que se materialicen.

    En virtud de lo expuesto, la Política de Seguridad de la Información para Netics Communications, SLU se regirá por los siguientes puntos.

  • Objetivo

    El objetivo es constituir la Política de Seguridad de la Información para Netics Communications, SLU, entendiéndose en todos los casos la seguridad como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información de tramitación electrónica.

    Dar a conocer a todo el personal de Netics Communications, SLU la presente política y la certificación de la empresa en relación con la norma ISO/IEC 27001. 

    La política debe de ser conocida y cumplida por todo el personal de Netics Communications, SLU, independientemente del puesto, cargo y responsabilidad dentro de la misma.

    Prevención
    Netics Communications, SLU debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello Netics Communications, SLU debe implementar las medidas mínimas de seguridad determinadas por la norma ISO/IEC 27001, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, Netics Communications, SLU debe:

     ·         Autorizar los sistemas antes de entrar en operación.

    ·         Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.

    ·         Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
  • Detección

    Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continuada para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.

    La monitorización es especialmente relevante cuando se establecen líneas de defensa. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

    Respuesta
    Netics Communications, SLU debe:

     ·         Establecer mecanismos para responder eficazmente a los incidentes de seguridad.

    ·         Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en Netics Communications, SLU.

    ·         Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
  • Recuperación

    Para garantizar la disponibilidad de los servicios críticos, Netics Communications, SLU debe desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

    Alcance
    Esta política se aplica a todos los sistemas TIC y a todos los miembros de la empresa, sin excepciones, que estén bajo este alcance. Es de cumplimiento por todo el personal de Netics Communications, SLU.

    De forma concreta, la presente Política de Seguridad es aplicable sobre las TIC y los sistemas de información relacionados con los servicios de detección y respuesta de ataques, protección de sitios web, detección de amenazas, supervisión y administración de la seguridad a través del SOC y análisis de vulnerabilidades, con el fin de dar soporte a los procesos de: monitorización remota de redes de clientes, operación remota de redes de clientes y soporte técnico remoto a redes de clientes.

    La empresa desestima la aplicación de la presente Política de Seguridad de la Información sobre aquellos sistemas de información no reflejados en este apartado.
  • Marco Normativo

    Son de aplicación las leyes y normativas españolas en relación con protección de datos personales, propiedad intelectual y uso de herramientas telemáticas. Por todo ello, Netics Communications, SLU podrá ser requerida por los órganos administrativos pertinentes a proporcionar los registros electrónicos o cualquier otra información relativa al uso de los sistemas de información.

    La principal normativa que es de aplicación se especifica a continuación:

     ·         REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

    ·         Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

    ·         Ley 34/2002, de 11 de julio, de servicios de la sociedad de la Información y Comercio Electrónico (LSSI).

    ·         Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

    ·         ISO/IEC 27001:2022 Seguridad de la información, ciberseguridad y protección de la privacidad.

    Organización de la seguridad
    La responsabilidad esencial recae sobre la Gerencia de la empresa, ya que esta es responsable de organizar las funciones y responsabilidades y de facilitar los recursos adecuados para conseguir los objetivos del sistema de seguridad de la información.
  • Organización de la seguridad

    La responsabilidad esencial recae sobre la Gerencia de la empresa, ya que esta es responsable de organizar las funciones y responsabilidades y de facilitar los recursos adecuados para conseguir los objetivos del sistema de seguridad de la información.

    Perfil

                      Cargo

                 Sustituto

    Responsable de la Información:

                      Gerente

                 Técnico de sistemas # 1

    Responsable del Sistemas:

                      Técnico de sistemas #1

                 Técnico de sistemas #2

    Responsable de Seguridad:

                      Técnico de ciberseguridad #1

                 Técnico de ciberseguridad #2

    Responsable del Servicio:

                      Director técnico                                 

                 Técnico de sistemas # 1

     Dentro de Netics Communications, SLU se cuentan con los siguientes roles y funciones:

     Responsable de Seguridad

    a)       Establecer los requisitos de la información y de los servicios en materia de seguridad y gestionar la misma en función de lo establecido en las políticas y normativas aplicables al sistema de gestión de seguridad de la información.

    b)      Fomentar y participar en el desarrollo e implantación de la política del Sistema de la Información y su normativa, procedimiento o documentación derivada.

    c)       Coordinación de personal de seguridad dentro de la empresa.

    d)      Aprobación final de las decisiones y comités de seguridad para su elevación a la Gerencia.

    e)       Trasladar a la Gerencia las decisiones en materia de seguridad de la información, así como los posibles incidentes detectados.

    f)        Mantener contacto con grupos de interés y autoridades en materia de seguridad informática para mantener actualizados los conocimientos de la compañía en esta materia y promover posibles iniciativas.

    g)      Velar por la efectividad de los controles implantados en la infraestructura tecnológica.

    h)       Asegurar los recursos y necesidades para asegurar la continuidad de los servicios y trasladar las necesidades a la Gerencia.

     Responsable de la Información y del Servicio

    a)       Aprobación de manera formal de los niveles de la información y los servicios.

    b)      Proponer el diseño de acciones de concienciación y sensibilización relativas a la seguridad y dirigidas a todo el personal.

    c)       Mantener contacto con grupos de interés y autoridades en materia de seguridad de la información para mantener actualizados los conocimientos de la compañía en esta materia y promover posibles iniciativas.

    d)      Revisar los controles implantados en la infraestructura tecnológica.

    e)       Coordinar las pruebas oportunas para que la infraestructura funcione correctamente.

    f)        Liderar las posibles pruebas que se puedan realizar o auditorías técnicas u organizativas para evaluar el estado de los sistemas

     Responsable del Sistema 

    a)       Colaborar en la designación de los niveles de la información y los servicios.

    b)      Asegurar y velar por el funcionamiento de las plataformas informáticas y de seguridad e infraestructura tecnológica.

    c)       Colaborar en la dignación de medidas técnicas y organizativas en el ámbito de adecuación del sistema.

    d)      Gestionar la implementación de controles técnicos junto con el responsable de la Información y del Servicio.

    e)       Escalar los posibles incidentes de seguridad de la información que afecten a los sistemas de seguridad de la información o que puedan afectar de forma indirecta.

    f)        Colaborar en la realización de auditorías técnicas u organizativas para evaluar el estado de los sistemas.

  • Comités: funciones y responsabilidades

    El Comité de Seguridad de la Información es el órgano decisorio en materia de seguridad de la información. Será el órgano responsable de proporcionar las directrices de gestión de la seguridad de la información en los servicios de Netics Communications, SLU. 

    Estará formado por el responsable de Seguridad, el Responsable de la Información, el Responsable del Servicio y el Responsable del Sistema. El Comité tendrá las siguientes funciones:

    a)       Definir los objetivos y metas de la organización en materia de seguridad de la información y asegurar que los mismos están en conexión con los requisitos de negocio, procesos más relevantes, así como las normativas de calidad implantadas en la empresa.

    b)      Formular, revisar y promulgar la política de seguridad de la información en la empresa supervisando su efectiva implantación.

    c)       Establecer las directrices y apoyo de la empresa a las iniciativas en materia de seguridad de la información.

    d)      Proveer a la empresa de los recursos necesarios para acometer las actividades e implantar los controles necesarios relativos a la seguridad de la información.

    e)       Aprobar las obligaciones y funciones que se establezcan dentro de la empresa en materia de seguridad de la información.

    f)        Promocionar la elaboración de planes y programas de formación en materia de seguridad de la información para su conocimiento por parte del personal de la empresa.

    g)      Monitorizar los principales riesgos residuales asumidos por la empresa y recomendar posibles actuaciones respecto de ellos.

    h)       Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.

    i)         Asegurarse que la implementación de los controles y salvaguardas está coordinada y es extensiva a toda la empresa.

    j)         Supervisar los cambios significativos y la exposición de los activos informáticos a amenazas significativas mediante la gestión del riesgo efectivo de la empresa.

    k)       Revisar los incidentes de seguridad de la información relevantes.

    l)        Cumplir con las funciones y obligaciones que en materia de protección de datos de carácter personal en función de la legislación vigente.

    m)    Cumplir con las funciones y obligaciones que en materia de recuperación de desastres y continuidad del negocio han sido asignadas dentro del Plan de Contingencias al Comité de Crisis.

    n)       Aprobar planes de mejora de la seguridad de la información de la empresa. En particular velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.

    o)      Atender las inquietudes de la Gerencia.

    p)      Informar regularmente del estado de la seguridad de la información a la Gerencia.

    q)      Promover la mejora continua del sistema de gestión de la seguridad de la información.

    r)        El Comité de Seguridad de la Información reportará directamente a la Gerencia.

  • Procedimientos de designación

    Los nombramientos se revisarán cada 2 años o cuando alguno de los puestos quede vacante.

     En caso de conflicto entre los diferentes responsables, éste será resuelto por Gerencia. En defecto de lo anterior, prevalecerá la decisión del Responsable de Seguridad.

     Por la presente, la Gerencia de Netics Communications, SLU asume la responsabilidad final y última del cumplimiento de la política.

  • Política de Seguridad de la Información

    Será misión del Comité de Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de esta. La Política será aprobada por la Gerencia de Netics Communications, SLU y difundida para que la conozcan todas las partes afectadas.
  • Datos de carácter personal

    Netics Communications, SLU trata los datos de carácter personal conforme a la legislación vigente en materia de protección de datos.

    Netics Communications, SLU establece e implementa las medidas necesarias para dar al cumplimiento del reglamento como:

    ·         Registro de actividades de tratamiento como responsable y encargado.

    ·         Información disponible para los interesados y posibilidad de ejercer sus derechos y deberes.

    ·         Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

    ·         La seudoanimización y el cifrado de datos personales, siempre que sea posible.

    ·         La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

    ·         La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

    ·         El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas asegurar el tratamiento.

    ·         Procedimiento de quiebras de seguridad.

  • Gestión de riesgos

    Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisa regularmente:

     ·         al menos una vez al año.

    ·         cuando cambie la información manejada.

    ·         cuando cambien los servicios prestados.

    ·         cuando ocurra un incidente grave de seguridad.

    ·         cuando se reporten vulnerabilidades graves.

    Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

  • Desarrollo de la Política de Seguridad de la Información

    Esta Política de Seguridad de la Información complementa las políticas de seguridad de Netics Communications, SLU en diferentes materias:

    ·         Organización e implantación del proceso de seguridad.

    ·         Análisis y gestión de los riesgos.

    ·         Gestión de personal.

    ·         Autorización y control de los accesos.

    ·         Protección de las instalaciones.

    ·         Gestión operativa.

    ·         Protección y gestión de la infraestructura lógica.

    ·         Protección de la información almacenada y en tránsito.

    ·         Prevención ante otros sistemas de información interconectados.

    ·         Registro de actividades.

    ·         Incidentes de seguridad.

    ·         Continuidad del sistema.

    ·         Mejora continua.

    Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todo el personal de la empresa que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones. La normativa de seguridad estará disponible en Onedrive corporativo. 

  • Obligaciones del personal

    Todo el personal de Netics Communications, SLU tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.

    Todo el personal de Netics Communications, SLU deberá tener una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todo el personal de Netics Communications, SLU, en particular a los de nueva incorporación.

    Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

  • Terceras partes

    Cuando Netics Communications, SLU preste servicios a otras empresas o maneje información de otras empresas, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

    Cuando Netics Communications, SLU utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad de la Información que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

     Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

  • Certificación ISO 27001 de Netics para el período 2024-2025
  • Documento de aprobación de la política de seguridad
  • Acuerdo de confidencialidad a firmar por los proveedores
  • Código de conducta informática a firmar por los proveedores
  • Normativa de seguridad de la información a firmar por los proveedores