logo libelium 1
libelium logo blanco

Política de seguridad de Libelium

Introducción

LIBELIUM COMUNICACIONES DISTRIBUIDAS S.L., en adelante LIBELIUM, siempre ha mostrado preocupación y cuidado por la normalización, el mantenimiento y la seguridad en sus productos, arquitecturas y proyectos. Esta preocupación se refleja en la Misión, Visión y Valores de la empresa como base fundamental de todo el trabajo realizado por todo el personal.

Con la implantación de la norma ISO 27001 de Seguridad de la Información y el Esquema Nacional de Seguridad ENS, se complementa esta preocupación formalizándola para clientes y proveedores y cubriendo todos los aspectos de seguridad y privacidad aplicables a la organización.

Esta política no sólo cubre los aspectos de privacidad de la organización, sino que también amplía estos aspectos de acuerdo con los requisitos mínimos del ENS.

Objetivos

La seguridad de la información pretende garantizar la calidad de la información y la prestación continua de servicios, actuando de forma preventiva y controlando la actividad diaria, y reaccionando con rapidez y eficacia ante los incidentes.

La seguridad de las tecnologías de la información y la comunicación (TIC) es esencial para proteger la información y garantizar la prestación continua de servicios. Para hacer frente a unas amenazas en constante evolución, se requiere una estrategia adaptativa y la aplicación de medidas de seguridad acordes con el Esquema Nacional de Seguridad.

El Comité de Seguridad Corporativa debe garantizar que la seguridad de las TIC se integra en todas las etapas del ciclo de vida de los productos y sistemas de información, desde su concepción hasta su retirada, para mantener la integridad y disponibilidad de los servicios prestados.

Todo el personal de la empresa debe estar preparado para detectar y notificar incidentes al órgano de gestión de la seguridad para actuar en consecuencia de conformidad con el artículo 7 del ENS y poder prevenir, reaccionar y recuperarse de los incidentes.

Prevención

Todos los usuarios de la información corporativa deben esforzarse por prevenir incidentes de seguridad que puedan afectar a la información o a los servicios. Para lograrlo, el responsable de seguridad y el órgano de gestión de la seguridad deben aplicar las medidas de seguridad mínimas establecidas por el ENS y cualquier control adicional identificado en una evaluación de amenazas y riesgos. Es fundamental que los controles de seguridad y las responsabilidades de todo el personal estén claramente definidos y documentados. Para garantizar el cumplimiento de la política, se debe:

  • Autorizar los sistemas antes de ponerlos en funcionamiento.
  • Evaluar periódicamente la seguridad, incluidas las evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar una revisión periódica de los sistemas, que podrá llevar a cabo una parte externa autorizada cuando sea necesario.

Detección

Los servicios pueden degradarse rápidamente debido a incidentes. Por lo tanto, los servicios básicos deben supervisarse continuamente para detectar anomalías en los niveles de prestación de servicios y actuar en consecuencia, tal como se establece en el artículo 9 del ENS.

La supervisión es especialmente relevante a la hora de establecer líneas de defensa de acuerdo con el artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y notificación que lleguen a las partes responsables periódicamente y cuando se produzca una desviación significativa de los parámetros preestablecidos.

Respuesta

Todos los usuarios de sistemas de información deberán:

  • Notificar cualquier incidencia relacionada con las dimensiones de los sistemas (disponibilidad, confidencialidad o integridad) dentro de su ámbito utilizando los medios establecidos para ello.
  • Facilitar cualquier información pertinente para mejorar la seguridad o la operatividad de los sistemas al organismo responsable de la administración de los mismos.

El órgano de gestión de la seguridad, dirigido por el responsable de seguridad, deberá:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar un punto de contacto para las comunicaciones relativas a las incidencias detectadas en los sistemas de información.
  • Establezca protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones bidireccionales con los Equipos de Respuesta a Emergencias (CERT).

Recuperación

Para garantizar la disponibilidad de los servicios críticos, el responsable de seguridad, apoyado por el comité de seguridad corporativo, desarrollará planes de continuidad de los sistemas de TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

Alcance

El alcance de la ISO27001 se aplica a: "Sistema de Gestión de Seguridad de la Información que soporta las actividades de desarrollo, fabricación y mantenimiento de productos innovadores (hardware loT, Cloud On-premise o plataforma SaaS). De acuerdo con la declaración de aplicabilidad Revisión 02".

El Alcance de la categoría ENS Alta se aplica a: "El Sistema de Información que soporta la consultoría, diseño, despliegue (on-premise o SaaS) y soporte del servicio de monitorización, análisis de datos y visualización de las plataformas proporcionadas a nuestros clientes".

Marco normativo

LIBELIUM está sujeta a las siguientes normas en la prestación de los servicios que presta a sus clientes:

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos), aplicable al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser contenidos en un fichero.
  • Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales y Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención.
  • El convenio colectivo aplicable, correspondiente a "Oficinas y Despachos".
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).
  • RD-ley 13/2012, de 30 de marzo, ley de cookies.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
  • El marco de referencia que da cobertura legal a este documento se establece en los siguientes apartados del Real Decreto 311/2022, de 3 de mayo, por el que se regula la Seguridad Nacional
  • (en lo sucesivo, ENS):
  • ENS. Artículo 12. Organización y ejecución del proceso de seguridad
  • La seguridad implicará a todos los miembros de la organización. La política de seguridad, tal y como se detalla en el apartado 3.1 del Anexo II, identificará a los responsables claros de garantizar su cumplimiento y deberá ser conocida por todos los miembros de la organización administrativa.
  • ENS. Anexo II
  • Medidas de seguridad Marco organizativo [org] Política de seguridad [org.1]
  • Política de seguridad [org.1]

Organización de Seguridad

Comité de Seguridad Corporativa

El Comité de Seguridad Corporativa estará compuesto por el responsable de información y servicio, el responsable del sistema, el responsable de seguridad y, al menos, un responsable adicional de cada una de las sedes físicas de la empresa.

Este Comité tendrá las siguientes funciones

  • Coordinará todas las actividades relacionadas con la seguridad de la información.
  • Es responsable de la elaboración de la Política de Seguridad.
  • Se encarga de crear y aprobar las normas que rigen el uso de los sistemas de información.
  • Aprobar los procedimientos de utilización de los sistemas de información.
  • Aprobará los requisitos de formación y cualificación de administradores, operadores y usuarios desde el punto de vista de la seguridad de los sistemas de información.

El Comité de Seguridad Corporativa será responsable de la revisión anual de esta Política de Seguridad de la Información y de proponer su revisión o mantenimiento. La Política será aprobada por el mismo comité y difundida para que todas las partes afectadas la conozcan.

Responsable de información

El Responsable de Información suele ser una persona que ocupa un alto cargo directivo en la organización. Este cargo es responsable del uso de determinada información y, por tanto, de su protección.

El Responsable de Información es responsable en última instancia de cualquier error o negligencia que provoque un incidente de confidencialidad o integridad.

El ENS atribuye al "Controlador de la Información" la facultad de establecer los requisitos de seguridad de la información. O, en terminología del ENS, la facultad de determinar los niveles de seguridad de la información (aunque, en este caso, esta responsabilidad recaerá en el CIO de los organismos públicos a los que se preste el servicio).

La determinación de los niveles de seguridad en cada dimensión de seguridad debe realizarse dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad. Se recomienda que la Política de Seguridad respalde los criterios de evaluación en la medida en que sean sistemáticos, sin perjuicio de que puedan aplicarse criterios particulares en casos concretos.

Responsabilidad de servicio

El ENS asigna al "Jefe de Servicio" la facultad de establecer los requisitos de seguridad del servicio. O, en terminología del ENS, la facultad de determinar los niveles de seguridad de los servicios (aunque, en este caso, la responsabilidad de definir los niveles de seguridad recaerá en el Jefe de Información de los organismos públicos a los que se preste el servicio).

La determinación de los niveles de seguridad en cada dimensión de seguridad debe realizarse dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad. Se recomienda que la Política de Seguridad respalde los criterios de evaluación en la medida en que sean sistemáticos, sin perjuicio de que puedan utilizarse criterios particulares en casos concretos.

La prestación de un servicio siempre debe tener en cuenta los requisitos de seguridad de la información que maneja (a veces denominados "requisitos heredados"), y suele incluir requisitos de disponibilidad, así como otros requisitos como accesibilidad, interoperabilidad, etc.

Oficial de seguridad

El responsable de seguridad debe ser nombrado directamente por la dirección para gestionar y mantener el SGSI, con el apoyo de los administradores de seguridad.

Sus responsabilidades incluyen mantener el proceso de mejora continua del sistema trabajando conjuntamente con los responsables de procesos y servicios. También es responsable de verificar el cumplimiento de este Manual de Gestión, detectar desviaciones en el sistema, recomendar y canalizar mejoras y verificar y evaluar su implantación y eficacia. En cuanto a las actividades de gestión, debe planificar las auditorías internas y gestionar las incidencias relacionadas con los servicios que gestiona.

Una persona designada por la dirección que tendrá las siguientes responsabilidades:
Mantener y supervisar la gestión de la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la Política de Seguridad de la Organización.
Promover la formación y la sensibilización en materia de seguridad de la información en su ámbito de responsabilidad.

Administrador de seguridad

Los administradores de seguridad son el equipo encargado de mantener operativo el sistema, mantener los servicios, gestionar los incidentes y actuar en consecuencia en cada caso.
Son responsables del funcionamiento operativo de los Sistemas de Información y de la gestión operativa del acceso a la información.
Estarán dirigidos por el Director de Seguridad, que dirigirá el equipo y establecerá las operaciones.

Gestor del sistema

El Gestor del Sistema debe ser nombrado directamente por la dirección para gestionar y mantener el ENS.

Cabe señalar que el Gestor del Sistema será responsable, entre otras funciones, de:

  • Desarrollar, operar y mantener el Sistema de Información a lo largo de su ciclo de vida, sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y el sistema de gestión del Sistema de Información, estableciendo los criterios para su utilización y los servicios disponibles en el mismo.
  • Garantizar que las medidas de seguridad específicas se integran adecuadamente en el marco de seguridad general.

El Responsable del Sistema podrá acordar la suspensión del tratamiento de determinada información o de la prestación de un determinado servicio si es informado de graves deficiencias de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Dicha decisión deberá ser consensuada con los responsables de la información afectada, del servicio afectado y con el Responsable de Seguridad antes de ser ejecutada.

Tratamiento de la información

LIBELIUM procesa datos personales (nombres, imágenes, cuentas de correo electrónico y otros datos personales) tal y como exige el Reglamento General de Protección de Datos (RGPD) europeo, que entró en vigor el 25 de mayo de 2018. El GDPR establece un marco jurídico común para la protección de datos en todos los países miembros de la Unión Europea (UE) y se aplica a todas las organizaciones que procesan datos personales de individuos dentro de la UE, independientemente de su ubicación geográfica.

Todos los sistemas de información de LIBELIUM cumplirán la normativa sobre la naturaleza y finalidad de los datos personales a que se refiere el citado Documento de Seguridad.

La política de seguridad estará a disposición de todas las partes interesadas en las siguientes direcciones:

Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y riesgos a los que están expuestos. Este análisis se repetirá en cualquiera de los casos enumerados a continuación:

  • Al menos una vez al año.
  • Cuando cambia el tipo de información que se maneja.
  • Cuando cambian los servicios prestados.
  • Cuando se produce un incidente de seguridad grave.
  • Cuando se informa de vulnerabilidades graves.

Para armonizar los análisis de riesgos, el Comité de Seguridad Corporativa establecerá una evaluación de referencia para los distintos tipos de información que se manejan y los servicios que se prestan.

El Comité de Seguridad Corporativa racionalizará la disponibilidad de recursos para satisfacer las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones horizontales.

Obligaciones del personal

Todos los miembros de LIBELIUM están obligados a conocer y cumplir esta Política de Seguridad de la Información y las Normas de Seguridad. El Comité de Seguridad Corporativo es el responsable de poner los medios necesarios para que la información llegue a los afectados.

Todos los miembros de LIBELIUM asistirán a una sesión de sensibilización sobre seguridad de las TIC al menos una vez al año. Se establecerá un programa de sensibilización permanente para todos los miembros de LIBELIUM, en particular para los nuevos.

Las personas responsables del uso, funcionamiento o administración de los sistemas de TIC recibirán formación sobre el funcionamiento seguro de los sistemas en la medida en que lo necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si se trata de su primera misión como de un cambio de puesto o de responsabilidades laborales.

Terceros

Cuando LIBELIUM preste servicios a otras organizaciones o maneje información de otras organizaciones, se les hará partícipes de esta Política de Seguridad de la Información; se establecerán canales de información y coordinación de los respectivos Comités, y procedimientos de reacción ante incidentes de seguridad.

Cuando LIBELIUM utilice servicios de terceros o transfiera información a terceros, éstos deberán conocer la presente Política de Seguridad y las Normas de Seguridad aplicables a dichos servicios o información. Dicho tercero firmará y cumplirá los términos del acuerdo. Estará sujeto a las obligaciones establecidas en dichas normas y podrá desarrollar sus propios procedimientos operativos para cumplirlas.

Se asegurará de que el personal de terceros esté adecuadamente formado y concienciado en materia de seguridad al mismo nivel, como mínimo, que el establecido en la presente Política. En caso necesario, también solicitará al tercero la documentación pertinente que lo demuestre.

Cuando algún aspecto de la Política no pueda ser satisfecho por un tercero, como se exige en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad en el que se especifiquen los riesgos incurridos y la forma de abordarlos. Antes de proceder, se requerirá la aprobación de este informe por parte de los responsables de la información y los servicios afectados.

Mantente al día en IoT

Únete a la Comunidad Libelium y recibe las últimas noticias sobre IoT, eventos importantes, proyectos, casos de éxito y mucho más en su inbox.

Me uno a la Comunidad Libelium

Empresas de todos los sectores y tamaños confían en nosotros

Más de 18 años de experiencia en IoT.

01 26
01 25
01 24
01 23
01 21
01 20
01 19
01 18
01 17
01 16
01 15
01 14
asercontrol
logotipo aquatec
logotipo de teva pharmaceuticals
telefónica
logotipo pavapark
innovasur web
logo libelium 1
Más de 18 años de experiencia en IoT.

Behind the change.
Beyond the challenge.
Linkedin-in X-twitter Youtube Instagram Facebook

Certificaciones de Calidad

grupo libelium distintivo ens certificacion alta rd311 2022 e1721648792842
imagen 38 1
imagen 41 1
pequeña huella carbono 2022 grupo libelium
imagen 42 1
imagen 40 1

Soluciones IoT para

Productos IoT

Compañía

Newsletter

Me uno a la comunidad Libelium
Grupo 859

© Libelium Comunicaciones Distribuidas S.L.Términos y condiciones | Política de privacidad | Política de CookiesPolítica de Seguridad | Canal del informante