POLÍTICA DE SEGURIDAD ENS
Rev. D – 22/04/2025
1. Introducción
El objeto de esta política es definir las normas y fundamentos que regirán cómo GESERISK Centro de Gestión de la Seguridad y el Riesgo Cibernético, S.L. (en adelante, Geserisk) administrará y protegerá su información y servicios, mediante la adopción, mantenimiento y optimización de medidas de seguridad.
Se cumplirá el marco legal vigente, en particular el Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad (ENS) en la administración electrónica del sector público, garantizando principios y requisitos para proteger la información de manera efectiva.
Ámbito de aplicación:
Todos los sistemas de información, procesos y empleados de Geserisk.
Cualquier colaborador o proveedor externo que participe en los “Servicios de monitorización de la seguridad de infraestructuras tecnológicas (SOC)”.
2. Misión, marco legal y regulatorio
El ENS refuerza la seguridad de los servicios y de la información, incorporando factores que optimizan su gestión. Geserisk se compromete al cumplimiento de la normativa siguiente:
Reglamento (UE) 2016/679 (RGPD).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales.
Real Decreto 311/2022, de 3 de mayo, por el que se regula el ENS.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Resolución de 27 de marzo de 2018 (Instrucción Técnica de Seguridad de Auditoría de los Sistemas de Información).
La normativa recogida en el registro RE01 PR03 Listado de requisitos legales.
3. Principios Generales
Confidencialidad: Sólo personas autorizadas acceden a la información sensible.
Integridad: Protección frente a modificaciones no autorizadas.
Trazabilidad: Registro de actuaciones y su autoría.
Autenticidad: Garantía de la fuente de datos.
Disponibilidad: Acceso oportuno a sistemas y servicios.
4. Liderazgo
La Dirección de Geserisk garantiza recursos y demuestra liderazgo a través del Comité de Seguridad de la Información, que:
Crea y alinea la política con la estrategia corporativa.
Integra y supervisa el ENS en servicios y procesos.
Asegura recursos, resultados y mejora continua.
Orienta y apoya al personal.
Aprueba y ajusta procedimientos y normativa.
5. Objetivos de seguridad de la información
Se definen en función de:
Necesidades de las partes interesadas.
Resultados del análisis y tratamiento de riesgos (confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad).
Implementación de controles organizativos (seguimiento y resolución de incidentes).
Avances tecnológicos para optimizar la gestión de riesgos.
Formación y concienciación del personal.
Planificación:
Acciones específicas.
Recursos asignados.
Responsables nombrados.
Plazos de ejecución.
Indicadores de seguimiento.
6. Directrices para la gestión de la documentación
Análisis de riesgos: Incluye sistemas de información y datos personales.
Controles de seguridad: Implementación continua y documentada.
Requisitos mínimos (Art. 12 RD 311/2022):
Organización e implantación.
Análisis y gestión de riesgos.
Gestión de personal y accesos.
Protección de instalaciones.
Adquisición de productos y servicios.
Principio de mínimo privilegio.
Protección de la información.
Prevención de conectividad.
Registro de actividad y detección de código dañino.
Gestión de incidentes.
Continuidad de la actividad.
Mejora continua.
Aplicación de Guías CCN‑STIC (Serie 800) del Centro Criptológico Nacional.
Clasificación de la información: pública, interna y confidencial.
Auditorías periódicas y acciones correctivas.
7. Funciones y responsabilidades
a) Comité de Seguridad de la Información
Aprobar y revisar la Política de Seguridad.
Coordinar a los responsables de Seguridad, Sistemas, Información y Servicio.
Ratificar nombramientos y funciones.
b) Responsable de Seguridad
Decidir medidas de seguridad según requisitos.
Asegurar certificación y proporcionalidad de productos.
Formalizar la Declaración de Aplicabilidad.
Justificar medidas compensatorias.
Revisar informes de auditoría y riesgos.
Promover formación y buenas prácticas.
Gestionar incidentes y relaciones con autoridades.
c) Responsable del Sistema
Operar y mantener el sistema de información.
Definir topología, uso y servicios.
Integrar medidas de seguridad.
Proponer suspensión de servicios si hay fallos graves.
Autorizar cambios operativos.
d) Responsable de la Información
Determinar requisitos de seguridad de la información (Anexo I ENS).
Clasificar la información según sensibilidad.
Supervisar la implementación de controles.
e) Responsable del Servicio
Establecer requisitos de seguridad de los servicios (Anexo I ENS).
Incorporar seguridad en todo el ciclo de vida del servicio.
Verificar el cumplimiento de medidas.
f) Responsable de Protección de Datos
Velar por el cumplimiento del RGPD y la LOPDGDD.
Coordinarse con los responsables de Seguridad y de Sistemas.
g) Personal interno y externo
Cumplir la política y aplicar los controles documentados.
8. Documentación de seguridad del sistema
Se regula en los procedimientos PR 01 (Control de la documentación) y PR 02 (Control de registros).
9. Revisión de la política
La Dirección, a través del Comité, revisará esta política:
Tras cambios significativos.
Al menos una vez al año.
10. Aprobación y difusión
Aprobada por la Dirección de Geserisk mediante firma.
Efectiva al día siguiente de su aprobación.
La Dirección facilitará recursos para su implementación y mejora continua.
11. Comunicación y difusión
Se comunicará a empleados, colaboradores y proveedores mediante documentación accesible, asegurando su cumplimiento en las actividades laborales.