Política de Seguridad de la Información
1)Misión
En Bullhost, nos comprometemos a proporcionar soluciones de alta calidad y seguridad que aporten valor a nuestros clientes. Nuestra misión es garantizar la protección y confidencialidad de la información de nuestros clientes y prestar servicios de ciberseguridad, Cloud y sistemas avanzados, y para ello, hemos implementado medidas de seguridad adecuadas para proteger los datos almacenados en nuestros servidores. Además, estamos comprometidos a cumplir con las leyes y regulaciones aplicables en materia de seguridad de la información, y a fomentar una cultura de seguridad entre nuestro personal y nuestros clientes. En resumen, nuestra misión es proporcionar un servicio seguro y confiable que cumpla con las expectativas de nuestros clientes en cuanto a seguridad y privacidad de la información
2)Visión
En Bullhost, nuestra visión es ser líderes en el mercado de soluciones de alojamiento web y ciberseguridad, brindando a nuestros clientes una experiencia segura, confiable y de calidad. Nos comprometemos a seguir las mejores prácticas en seguridad de la información, y para ello nos basamos en el marco NIST (National Institute of Standards and Technology). Este marco nos permite tener una guía clara y detallada para la gestión de la seguridad de la información, y nos ayuda a asegurar que nuestros servicios sean seguros y cumplan con los estándares internacionales de seguridad. Contamos con nuestro propio centro de datos que nos permite tener un mayor control y garantía sobre la seguridad y disponibilidad de los datos de nuestros clientes. Nuestra visión es seguir innovando y mejorando nuestros servicios, para que nuestros clientes se sientan seguros y confiados al confiarnos sus datos. Asimismo, buscamos ser un referente en cuanto a buenas prácticas de seguridad y privacidad de la información, no solo para nuestros clientes, sino también para la industria en general. En resumen, nuestra visión es ser una empresa líder en el mercado de alojamiento web y ciberseguridad, ofreciendo soluciones innovadoras y de calidad que superen las expectativas de nuestros clientes y estén alineadas con los estándares del marco NIST.
Convirtiéndonos en socios estratégicos de nuestros clientes al asegurarles la disponibilidad de sus contenidos y la continuidad de su negocio.
3)Valores
Los valores principales sobre los que se apoyarán las políticas son:
· Pasión y búsqueda de la excelencia en el trabajo.
· Desarrollo profesional mediante la formación continua
· Compromiso por garantizar la confidencialidad, disponibilidad e integridad de la información de los clientes en los proyectos participados; cumpliendo las medidas de seguridad.
· Compromiso por prevenir incidentes de seguridad de la información en la medida que sea técnica y económicamente viable.
· Compromiso por garantizar la continuidad de los servicios con una recuperación rápida y eficiente ante cualquier contingencia.
· Compromiso con la mejora continua y la implementación de un sistema de gestión de seguridad de la información.
4)Competencias
· Proyectos de adecuación, revisión y auditoria de las normativas de ciberseguridad.
· Proyectos y servicios de instalación de infraestructuras y soluciones de seguridad.
· Servicios de ciberseguridad desde SOC.
· Desarrollo y alojamiento web en CPD propio.
· Soporte informático.
5)Marco legal
El marco legal y regulatorio en el que desarrollamos nuestras actividades es:
· REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL
· CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
· Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
· Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual
· Real Decreto-ley 2/2018, de 13 de abril, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual
· Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
· Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.
· • Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
· • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
6)Estructura documental
6.1) Políticas transversales
1. La dirección debe comprender y tratar los riesgos operacionales y estratégicos en seguridad de la información para que permanezcan en niveles aceptables para la organización.
2. Se protegerá la confidencialidad de la información de clientes y empleados, de cara a terceros.
3. Deberán existir mecanismos para asegurar que los servicios en línea y las redes internas cumplen con los requisitos de disponibilidad requeridos.
4. Se asegurará la conservación e integridad de los registros contables.
5. Se dispondrá de un sistema de protección y limitación de accesos de forma física al CPD.
6. Se monitorizarán y supervisarán las posibles intrusiones digitales y de seguridad al CPD o sistemas internos.
6.2) Políticas basadas en riesgos
1. Adopción de una metodología capaz de gestionar la seguridad en función de los riesgos, en base a un análisis continuo de los activos existentes.
2. Los riesgos deben poderse medir de forma cualitativa y cuantitativa.
3. La dirección revisará la gestión del análisis de riesgos con una periodicidad mínima anual.
4. En caso de modificaciones sustanciales en los activos y/o servicios se deberán revisar los riesgos de aquello que haya sido objeto de modificación.
5. Durante la definición de nuevos procesos, tanto interno como externo, se realizará un análisis de riesgos o de seguridad para no comprometer la información.
6.3) Políticas de mejora continua
1. Se medirá la mejora continua mediante objetivos de seguridad dentro de las siguientes categorías:
a. Auditorías externas.
b. Incidentes de seguridad.
c. Disponibilidad de los servicios.
d. Cumplimientos de SLA
e. Documentación del sistema.
f. Nivel de madurez de los controles.
2. La dirección revisará estos indicadores con una periodicidad mínima anual.
3. Todos los incidentes se reportarán al Responsable de Seguridad de la Información y deberán estar documentados.
4. Toda la documentación del SGSI deberá tener un sistema de control de versiones y seguir el mismo formato.
6.4) Políticas de seguridad
Se han establecido las siguientes políticas de seguridad de la información:
a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos.
h) Mínimo privilegio.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.
7)Roles y Responsabilidades generales
Se contemplan los siguientes roles y ámbitos de responsabilidad dentro de la organización relativos al SGSI:
· Cualquier trabajador
o Deberá mantener la confidencialidad sobre la información a la que tenga acceso dentro de su relación laboral con el cliente. Persistiendo esta obligación incluso después de la finalización de la relación laboral con el mismo.
o Deberá mantener la confidencialidad especialmente sobre credenciales o fallos deseguridad identificados en un cliente.
o En caso de detectar cualquier fallo o incidencia relacionada con la seguridad, deberá reportarlo inmediatamente al Responsable de Seguridad de la Información.
· Responsable de proyectos o servicios
o Trasladar al Responsable de Seguridad de la Información las necesidades específicas del proyecto o servicio, cuando estas difieren del ámbito normalizado, para asegurar la calidad de este.
o Deberán mantener el control del equipamiento suministrado por la empresa y dedicado a los proyectos/servicios bajo su supervisión.
o Velar por la confidencialidad de la información propiedad de los clientes que hayan de utilizar durante el desarrollo de su actividad.
o Conocer la información a la que tiene acceso cada una de las personas participante en los proyectos/servicios a su cargo.
o Aprobar el acceso a la información y recursos necesarios para el desarrollo de los proyectos/servicios de su responsabilidad.
o Velar por la información suministrada a terceras partes en relación con la compañía (proveedores).
o Realizar análisis de riesgos de los proyectos/servicios de su responsabilidad.
· Responsable de departamento
o Será el encargado de gestionar la transferencia de conocimiento proveniente de unidades transversales e incluirlas en el área bajo su supervisión.
o Será el responsable del equipamiento dedicado a proyectos/servicios dentro del área.
o Será responsable de asignar los recursos humanos según su conocimiento y especialización a los diferentes proyectos.
o Aprobar el acceso a información referida a situación y gestión de los proyectos/servicios del área de su responsabilidad.
o Atender al deber de secreto profesional en aquellas áreas cuyo trabajo se catalogue como I+D dentro de la compañía.
o Velar por el cumplimiento de las normas establecidas para su ámbito de responsabilidad.
A continuación, se destacan los puntos detectados más críticos, pero queda a criterio del director de departamento aplicar estas medidas a otra información no detallada en este documento:
o Administración (incluye RRHH y financiero):
§ Los expedientes de contratación, así como su registro de entrada y salida.
§ La información de nóminas y retribuciones estará afectada principalmente por la privacidad de la información personal, no tanto por la gestión del conocimiento de la compañía. Los procesos de selección del personal serán considerados confidenciales.
o Comercial:
§ Las ofertas, licitaciones y oportunidades comerciales pueden requerir de una confidencialidad específica.
§ Los clientes que visiten la empresa no deberán tener acceso a información propia de Bullhost durante su visita.
o Producción:
§ Cada proyecto/servicio en particular deberá analizarse en función de la información que maneje y de las tecnologías utilizadas para su procesamiento.
Los roles o funciones de seguridad definidos son:
Función | Deberes y responsabilidades |
Responsable de la información | Tomar las decisiones relativas a la información tratada |
Responsable de los servicios | Coordinar la implantación del sistema Mejorar el sistema de forma continua |
Responsable de la seguridad | Determinar la idoneidad de las medidas técnicas Proporcionar la mejor tecnología para el servicio |
Responsable del sistema | Coordinar la implantación del sistema Mejorar el sistema de forma continua Implantación, gestión y mantenimiento de las medidas de seguridad. |
Dirección | Proporcionar los recursos necesarios para el sistema Liderar el sistema |
Esta definición de deberes y responsabilidades se completa en los perfiles de puesto y en los documentos del sistema Registro de responsables, roles y responsabilidades.
8)Comité de Seguridad
El comité de seguridad ENS es el órgano con mayor responsabilidad dentro del sistema de gestión de seguridad de la información para ENS y está formado por el responsable de la información, el responsable del servicio, el responsable de seguridad y el responsable de los sistemas de información. La toma de decisiones se realizará mediante la votación de los miembros y con el único requisito de mayoría simple. En caso de conflicto entre los diferentes responsables, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Responsable de Seguridad
La gestión de la seguridad ENS se encomienda al responsable de seguridad que informará al comité de seguridad ENS de las necesidades de la emisión de políticas y procedimientos complementarios a las políticas de seguridad corporativa para asegurar el cumplimiento de la normativa española.
Estos miembros se designan por el Comité de dirección, único órgano que puede nombrarlos, renovarlos y cesarlos.
El comité de seguridad lo compondrán los siguientes roles.
· Dirección
· Responsable de Seguridad
· Responsable de la Información
· Responsable del Sistema
· Responsable de los Servicios de Producción
· Responsable de los Servicios
· Responsable de los Servicios internos (Admin, RRHH)
Como funciones y responsabilidades el comité de seguridad deberá velar por:
· Aprobar esta política.
· Establecer y mantener un programa de seguridad y salud en el trabajo.
· Establecer y supervisar el cumplimiento de los requisitos legales y reglamentarios.
· Establecer los procedimientos de identificación de riesgos potenciales y evaluar la necesidad de controles.
· Establecer líneas de comunicación para el intercambio de información sobre riesgos para la salud y la seguridad.
· Establecer un programa de educación y sensibilización de los trabajadores sobre la seguridad y salud en el trabajo.
· Establecer un programa de auditorías para evaluar el cumplimiento de los requisitos de seguridad y salud.
· Establecer los procedimientos para informar y analizar los incidentes y accidentes.
· Establecer y supervisar el cumplimiento de los procedimientos de mantenimiento de equipos, instalaciones y medios de trabajo.
· Establecer los procedimientos para la prevención y control de los riesgos para la seguridad y la salud de los trabajadores.
· Establecer los procedimientos para la gestión de los riesgos para la seguridad y la salud de los trabajadores.