Política de seguridad de la información

LISTA DE ACRÓNIMOS

BIM: Building Information Modeling
ENS: Esquema Nacional de Seguridad
LOPDGDD: Ley de Protección de Datos Personales y Garantía de los Derechos Digitales
POC: Person of contact (persona de contacto)
RRHH: Recursos Humanos
SGI: Sistema de Gestión Integrado
SGSI: Sistema de Gestión de Seguridad de la Información
SI: Seguridad de la Información
TIC: Tecnologías de la Información y la Comunicación

1. OBJETO Y CAMPO DE APLICACIÓN

La Dirección Ejecutiva de INGECID S.L. (en adelante INGECID), en el marco de su competencia general e indelegable de determinar las políticas y estrategias generales de la organización aprueba la presente política.

El objeto de esta política es definir y establecer los principios, criterios y objetivos de mejora que rigen las actuaciones en materia de Seguridad de la Información (SI) de los sistemas de INGECID que se encuentran sujetos al Sistema de Gestión de Seguridad de la Información (SGSI) y en el alcance del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) ​[1]​.

La presente política se aplica a todos los sistemas de información de INGECID, a las personas que conforman su organización y a sus prestadores de servicios o proveedores de soluciones Tecnologías de la Información y la Comunicación (TIC).

Por lo tanto, esta política se circunscribe a los servicios y sistemas de INGECID, incluidos en el alcance del SGSI, y que dan cobertura al cumplimiento de los requisitos y medidas de seguridad establecidas en el ENS ​[1]​, es decir, a los sistemas de información que dan soporte a los servicios de:

  • Diseño y desarrollo de proyectos e informes técnicos de ingeniería civil.
  • Formación a empresas en áreas de conocimiento de la ingeniería civil y de la edificación.
  • Ingeniería en el campo de la energía nuclear.
  • Desarrollo de software para los campos de la ingeniería civil y de la energía nuclear.

2. ACTIVIDADES

2.1 Misión y objetivos

La misión de INGECID se encuentra recogida en el documento SGI-04 Misión, propósito y estrategia​ [2]​, publicado en la web de la organización (www.ingecid.es).

Por otro lado, los objetivos en materia de seguridad que INGECID pretende garantizar con la presente política son:

  • Garantizar la confidencialidad, integridad, autenticidad de la información y la continuidad en la prestación de los servicios.
  • Implementar medidas de seguridad que permitan la trazabilidad de los accesos y respetar, entre otros, el principio de mínimo privilegio, reforzando también el deber de confidencialidad de las personas usuarias en relación con la información que conocen en el desempeño de sus funciones.
  • Implementar medidas de seguridad en función del riesgo.
  • Formar y concienciar a los integrantes de INGECID respecto a la seguridad de la información.
  • Desplegar y controlar la seguridad física haciendo que los activos de información se encuentren en áreas seguras, protegidos por controles de acceso, atendiendo a los riesgos detectados.
  • Establecer la seguridad en la gestión de comunicaciones mediante los procedimientos necesarios, logrando que la información que sea transmita a través de redes de comunicaciones sea adecuadamente protegida.
  • Controlar la adquisición, desarrollo y mantenimiento de los sistemas de información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
  • Controlar el cumplimiento de las medidas de seguridad en la prestación de los servicios, manteniendo el control en la adquisición e incorporación de nuevos componentes del sistema.
  • Gestionar los incidentes de seguridad para la correcta detección, contención, mitigación y resolución de estos, adoptando las medidas necesarias para que los mismos no vuelvan a reproducirse.
  • Proteger la información personal, adoptando las medidas técnicas y organizativas en atención a los riesgos derivados del tratamiento conforme a la legislación en materia de protección de datos.
  • Supervisar de forma continuada el sistema de gestión de la seguridad, mejorando y corrigiendo las ineficiencias detectadas

2.2 Principios

Esta política de seguridad se establece de acuerdo con los principios básicos de seguridad establecidos en el artículo 5 del ENS ​[1]​, es decir:

  • Seguridad como proceso integral
  • Gestión de la seguridad basada en los riesgos
  • Prevención, detección, respuesta y conservación
  • Existencial de líneas de defensa
  • Vigilancia continua
  • Reevaluación periódica
  • Diferenciación de responsabilidades

De acuerdo con lo establecido en el artículo 12 del ENS ​[1]​ y en proporción a los riesgos identificados en cada sistema, dichos principios se desarrollan aplicando los siguientes requisitos mínimos:

  • Organización e implantación del proceso de seguridad
  • Análisis y gestión de los riesgos
  • Gestión de personal
  • Profesionalidad
  • Autorización y control de los accesos
  • Protección de las instalaciones
  • Adquisición de productos de seguridad y contratación de servicios de seguridad
  • Mínimo privilegio
  • Integridad y actualización del sistema
  • Protección de la información almacenada y en tránsito
  • Prevención ante otros sistemas de información interconectados
  • Registro de la actividad y detección de código dañino
  • Incidentes de seguridad
  • Continuidad de la actividad
  • Mejora continua del proceso de seguridad

2.3 Marco normativo

La principal normativa que afectan a esta política es el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) ​[1]​.

Además, dentro del proceso PC-ES-02 Análisis de Contexto ​[3]​, INGECID lleva a cabo el registro sistemático de identificación y evaluación de requisitos legales y otros requisitos aplicables. Este registro permite identificar, analizar y verificar el grado de adecuación y cumplimiento de toda la legislación vigente, entre otras, en materia de seguridad de la información que afecta a la organización.

Por último, también se consideran de forma expresa los requisitos contractuales derivados de acuerdos con clientes y proveedores, especialmente aquellos que imponen exigencias específicas en materia de seguridad y privacidad de la información, garantizando su integración en SGSI de la empresa.

2.4 Organización de la Seguridad

2.4.1 Organigrama del SGSI

Figura 1: Organigrama del SGSI

2.4.2 Mecanismos de coordinación

La organización de la seguridad en INGECID se estructura a través del Comité de Seguridad de la Información, constituido por:

  • Dirección Ejecutiva
  • Direcciones de Departamento:
    • Administración, Finanzas y RRHH
    • Calidad
    • Consultoría Técnica e Innovación
    • Diseño y Análisis Estructural
    • Diseño y Desarrollo de Software
    • Infraestructuras, BIM y Transformación Digital
    • Nuclear Engineering
  • Responsable de la Información
  • Responsable de Seguridad
  • Responsable del Servicio
  • Responsable del Sistema

Se designa a la persona responsable de Seguridad como la Persona de Contacto (POC) de la organización en materia de seguridad.

Los roles citados anteriormente son designados por la Dirección Ejecutiva y su renovación deberá contar con la aprobación del Comité de Seguridad de la Información.

Dentro de la ejecución del proceso PC-AP-08 Recursos Humanos ​[4]​ se definen las funciones y responsabilidades, tanto del Comité de Seguridad de la Información, como de cada uno de los roles de seguridad que constituyen el mismo.

La periodicidad de reunión de dicho comité será al menos semestralmente, pudiéndose reunir tantas veces lo consideren oportuno. Además, teniendo en cuenta los temas a tratar, a las reuniones podrán asistir todas aquellas personas que los integrantes de este comité decidan.

Los roles y responsabilidades con relación al SGSI son comunicados a las nuevas incorporaciones y recordados periódicamente a todo el personal de la organización.

2.4.3 Funciones y responsabilidades

2.4.3.1 Comité de Seguridad de la Información
  • Comunicar y cumplir la presente política y procedimientos asociados.
  • Definir el contexto de la organización y posibles cambios en el mismo.
  • Identificar las necesidades y expectativas de nuestras partes interesadas en materia de seguridad de la información, así como sus requisitos relevantes.
  • Promover el pensamiento en términos de riesgo y el plan de acciones para reducir el riesgo, siendo un equipo proactivo.
  • Aprobar el análisis de riesgos de seguridad de la información y aprobar la aceptación del nivel de riesgo residual.
  • Determinar los criterios y métodos necesarios para asegurar que tanto la operación como el control de los procesos sean efectivos.
  • Detectar áreas de mejora o establecer planes de mejoras cuando sea necesario, identificando cambios o inclusión de nuevas técnicas, productos, procedimientos o documentación en general que puedan mejorar el rendimiento y eficacia del sistema de gestión.
  • Revisar la información documentada y contribuir a mejorarla.
  • Analizar las nuevas amenazas detectadas.
  • Asegurar que los objetivos, incluso los necesarios para satisfacer los requisitos de los servicios, se establezcan en las funciones y niveles pertinentes.
  • Detectar necesidades de acciones de concienciación y de formación.
  • Transmitir quejas, reclamaciones o sugerencias, así como colaborar en la resolución de incidencias, no conformidades y acciones correctivas.
  • Programar y participar en las auditorías.
  • Colaborar para llevar a cabo las revisiones por la dirección.
  • Planificar nuevos simulacros del Plan de Continuidad de Negocio.
  • Evaluar los daños y determinar la necesidad de declaración de desastre y activación del Plan de Recuperación.
2.4.3.2 Roles del SGSI

Las funciones y responsabilidades de los roles de responsable de Seguridad, responsable del Sistema, responsable de la Información y responsable del Servicio quedan debidamente recogidas en su ficha de rol correspondiente. Estas fichas se definen y aprueban por la Dirección Ejecutiva en el marco del proceso PC-AP-08 Recursos Humanos ​[4]​, que también recoge el nombramiento (asignación de roles) a las personas correspondientes.

2.4.4 Resolución de conflictos

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la presente política, éste será resuelto por la Dirección Ejecutiva, y prevalecerán las mayores exigencias derivadas de la protección de datos de carácter personal.

2.5 Documentación de seguridad del sistema

La información documentada relacionada con el cumplimiento del ENS ​[1]​ se organiza, codifica y aprueba conforme a los requisitos generales establecidos en el sistema de gestión de INGECID, en el marco del proceso PC-AP-09 Gestión del Conocimiento ​[5]​.

Toda la documentación vinculada a los distintos sistemas de gestión, incluyendo específicamente aquella relativa al ENS ​[1]​, se encuentra centralizada y almacenada en los sistemas de información corporativos de INGECID, garantizando su accesibilidad, integridad, trazabilidad y control de versiones.

2.6 Obligaciones de cumplimiento

2.6.1 Personal

Todo el personal de INGECID tiene la obligación de conocer y cumplir esta Política de Seguridad y los procedimientos, instrucciones y otra información documentada del SGI que la desarrolle, siendo responsabilidad de INGECID, a través del Comité de Seguridad, de disponer los medios necesarios para que la información llegue a los afectados.

2.6.2 Terceras partes

2.6.2.1 CLIENTES

Cuando INGECID preste servicios a otras entidades o maneje información de éstas, se les hará partícipes de la presente política, sin perjuicio de respetar las obligaciones de la normativa de protección de datos si actúa como encargado del tratamiento en la prestación de los citados servicios, y se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y procedimientos de actuación para la reacción ante incidentes de seguridad.

2.6.2.2 COLABORADORES Y PROVEEDORES

Cuando INGECID utilice servicios de terceros o ceda información a terceros, se les hará partícipes de la presente política y de las normas, procedimientos y/o instrucciones de seguridad que ataña a dichos servicios o información, sin perjuicio del cumplimiento de otras obligaciones en materia de protección de datos. Esta tercera parte quedará sujeta a las obligaciones establecidas en dicha documentación, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecen procedimientos específicos de informe y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta política.

Cuando algún aspecto de la política no pueda ser satisfecho por un tercero según se requiere en los párrafos anteriores, la persona responsable de la Seguridad emitirá un informe que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por las personas responsables de la información y de servicios afectados antes del inicio de la contratación.

Estas obligaciones serán reguladas mediante acuerdo, convenio o contrato que defina la relación con los terceros.

2.7 Concienciación y formación

En el marco del proceso PC-AP-08 Recursos Humanos ​[4]​ se desarrollan acciones de formación y concienciación dirigidas a todo el personal, con el objetivo de fomentar una cultura organizativa orientada a la seguridad de la información. Estas acciones incluirán, entre otros, los siguientes contenidos:

  • Política de Seguridad de la Información.
  • Fundamentos de la seguridad de la información y su aplicación en el entorno laboral.
  • Identificación y gestión de riesgos, vulnerabilidades y amenazas en los sistemas de información.
  • Importancia del cumplimiento de la legislación vigente en materia de seguridad y protección de datos.

Todo el personal de INGECID deberá asistir, al menos una vez al año, a una sesión de formación en seguridad de la información. Además, se establecerán acciones de concienciación continua, con especial atención a las nuevas incorporaciones, que recibirán formación específica durante su proceso de acogida.

Las personas que desempeñen funciones relacionadas con el uso, operación o administración de sistemas TIC recibirán formación especializada para garantizar el manejo seguro de los sistemas, en función de las necesidades de su puesto. Esta formación será obligatoria antes de asumir cualquier responsabilidad, ya sea por una nueva incorporación, un cambio de puesto o una reasignación de funciones.

2.8 Gestión de riesgos

Todos los sistemas de información afectados por la presente política, así como todos los tratamientos de datos personales realizados por INGECID, deberán estar sujetos a un análisis de riesgos que permita identificar, evaluar y gestionar las amenazas y riesgos a los que están expuestos.

Este análisis se llevará a cabo en los siguientes casos:

  • De forma periódica, al menos una vez al año.
  • Cuando se produzcan cambios significativos en la información gestionada o en los servicios prestados.
  • Tras la ocurrencia de un incidente grave de seguridad o la detección de vulnerabilidades críticas que puedan comprometer la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

La persona responsable de Seguridad será la encargada de asegurar la realización del análisis de riesgos, así como de identificar carencias y debilidades en los sistemas y procesos. Asimismo, deberá informar al Comité de Seguridad sobre los resultados obtenidos y proponer las medidas correctoras o de mejora necesarias.

2.9 Datos de carácter personal

INGECID únicamente recogerá datos de carácter personal cuando estos sean adecuados, pertinentes y estrictamente necesarios en relación con las finalidades legítimas para las que se hayan obtenido. En todo momento, se adoptarán las medidas técnicas y organizativas necesarias para garantizar el cumplimiento de la normativa vigente en materia de protección de datos personales.

Cuando un sistema de información de INGECID gestione datos personales, será de aplicación lo dispuesto en la Ley de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) ​[6]​, así como sus normas de desarrollo. Todo ello sin perjuicio del cumplimiento adicional de los requisitos establecidos en el ENS ​[1]​.

Asimismo, todos los sistemas de información deberán ajustarse a los niveles de seguridad exigidos por la normativa de protección de datos, en función de la naturaleza, el alcance, el contexto y los fines del tratamiento, así como de los riesgos identificados para los derechos y libertades de las personas.

2.10 Revisión y aprobación

Con el fin de garantizar la vigencia, adecuación y eficacia de este documento, se establecen dos tipos de actividades de revisión:

  • Revisiones periódicas sistemáticas: realizadas de forma planificada, al menos una vez al año por el Comité de Seguridad de la Información.
  • Revisiones no planificadas: realizadas en respuesta a:
    • cualquier evento o incidente de seguridad que pudiera suponer un incremento significativo del nivel de riesgo actual o haya causado un impacto en la seguridad de la información de INGECID
    • detección de incidencias relevantes
    • existencia de cambios en el marco legal o normativo que puedan afectar a la validez de la presente política.

Finalmente, si como resultado de dichas revisiones, es necesario modificar la presente política, el aprobador de la nueva política será la Dirección Ejecutiva de INGECID y se informará adecuadamente a los interesados por los mismos canales usados para su difusión.

3. REFERENCIAS​

[1] ​Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS).
​[2] INGECID, SGI-04 Misión, propósito y estrategia.
​[3] ​INGECID, PC-ES-02 Análisis de Contexto.
​[4] ​INGECID, PC-AP-08 Recursos Humanos.
​[5] INGECID, PC-AP-09 Gestión del Conocimiento.
​[6] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Elaborado por el Responsable de seguridad de información y aprobado por la dirección ejecutiva
APPROVAL DATE: 03/10/2025
DOCUMENT: SGI-03
REVIEW: 00