Política de Seguridad de la Información

1 Resumen ejecutivo

En toda organización existe información confidencial, en mayor o menor grado, cuya pérdida o uso indebido puede dañar su reputación. Asimismo, el deterioro o indisponibilidad de los sistemas de información puede interrumpir el normal desarrollo de la operativa, produciendo efectos negativos en la calidad del servicio y los beneficios de la compañía.

El principal objetivo del presente documento es mitigar los riesgos asociados a los sistemas de información de BASETIS describiendo lo que se espera de todo el personal que pertenece a BASETIS y que en el desarrollo de sus funciones pueda tener acceso a la información, sistemas de información o recursos de BASETIS en general, con el fin de proteger la confidencialidad, integridad y disponibilidad de la información y sistemas manejados por BASETIS.

Asimismo, se pretende fomentar el uso de buenas prácticas en materia de seguridad de la información.

Para ello, las personas trabajadoras de BASETIS dan su compromiso de cumplir y respetar las normas incluidas en este documento. Esta Política de Seguridad refleja requerimientos legales y éticos aplicables a las actuaciones de los empleados de BASETIS. Con dicho propósito transmite las Normas que lo desarrollan y las obligaciones a las que está sujeta por la legislación vigente.


2 Alcance 

Esta política es aplicable a todas las personas trabajadoras de Basetis, así como también a las empresas proveedoras de servicios a las que les aplique, y a todos los servicios que se llevan a cabo: Artificial Intelligence, Data Integration & Analytics, Design, Development, Infrastructure, Management & Business, Mobile.


3 Marco Normativo

Se toma como referencia, la siguiente legislación:

      • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
      • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

4 Desarrollo metodológico

4.1 Observaciones

Esta Política de Seguridad, propiedad de BASETIS, está disponible para todas las partes interesadas a modo de información documentada y se comunica dentro de la organización.

4.2 Responsabilidades

      • El Comité de Seguridad de la Información es el  responsable de asegurar que la seguridad de la información se gestiona adecuadamente en toda la organización.
      • Cada miembro de área/team es responsable de velar por el resguardo de la información de la organización, de acuerdo con las normas establecidas. 
      • Todos y cada uno de los usuarios del sistema de información de BASETIS, son responsables de la seguridad de los activos informáticos mediante el uso correcto de los mismos, así como la seguridad de la información y los datos que utilizan según las actividades que desarrollan propias de su puesto de trabajo.

4.3  Desarrollo de la Política de Seguridad

Política General de Seguridad de la Información

BASETIS garantiza la adecuada gestión de la seguridad de la información procesada y/o albergada por los sistemas y servicios contemplados en el alcance.

Para desarrollar esta Política, el Comité de Seguridad con la colaboración del resto de áreas que conforman  BASETIS se compromete a:

      • Llevar a cabo un análisis periódico de riesgos que permita mantener una adecuada visión de los riesgos de seguridad de la información a los que están expuestos los activos y desarrollar las medidas necesarias para limitar y reducir dichos riesgos, definiendo las medidas de seguridad a establecer.
      • Desarrollar una completa normativa de seguridad que regule las condiciones en las que la empresa, dentro del alcance establecido, debe desarrollar su actividad para respetar los requerimientos de seguridad establecidos.
      • Destinar los recursos y medios necesarios para desarrollar todas las medidas de seguridad que se determinen, manteniendo un adecuado balance entre coste y beneficio.
      • Establecer un plan de formación y concienciación en materia de seguridad de la información que ayude a todo el personal implicado a conocer y cumplir las medidas de seguridad establecidas y a participar de forma proactiva en la gestión de la seguridad de la información.
      • Desarrollar todas las medidas necesarias para garantizar la adecuada gestión de los incidentes de seguridad que puedan producirse, y que permitan la resolución tanto de las incidencias menores como de las situaciones que puedan poner en riesgo la continuidad de las actividades contempladas.
      • Establecer periódicamente un conjunto de objetivos e indicadores en materia de seguridad de la información que permitan el adecuado seguimiento de la evolución de la seguridad dentro de la empresa.
      • Establecer una metodología de revisión, auditoría y mejora continua del sistema, siguiendo un ciclo PDCA que garantice el mantenimiento continuo de los niveles de seguridad deseados. 

BASETIS establece los procedimientos y formas de actuación necesarias para garantizar el correcto desarrollo de esta Política, que se plasman en un sistema de seguridad, documentado y conocido por todo el personal de la empresa, y que cumple los requisitos establecidos en la Norma.

Principios generales

Tal y como se ha establecido en el ámbito de aplicación, todo el personal, tanto externo como interno, que desarrolle labores para BASETIS, deberá cumplir con la Política de Seguridad recogida en el presente documento.

En caso de incumplimiento de cualquiera de estas obligaciones, BASETIS se reserva el derecho de veto sobre el personal que haya cometido la infracción, así como la adopción de las medidas disciplinarias que se consideren pertinentes recogidas en el Proceso Disciplinario, y que pueden llegar a la disolución de la relación laboral entre ambas partes.

Todo el personal que acceda a los sistemas de información de BASETIS, deberá seguir las siguientes normas de actuación: 

      • Proteger la información confidencial perteneciente o cedida por terceros a BASETIS de toda revelación no autorizada, modificación, destrucción o uso incorrecto, ya sea accidental o no.
      • Proteger todos los sistemas de información y redes de telecomunicaciones contra accesos o usos no autorizados, interrupciones de operaciones, destrucción, mal uso o robo.
      • Para obtener el acceso a los sistemas de información propios o bajo supervisión de BASETIS, será necesario disponer de un acceso autorizado.
      • Será necesario conocer, aceptar y cumplir la presente Política antes de poder acceder a los sistemas de información de BASETIS. De forma adicional, todo el personal con responsabilidades específicas dentro del ámbito de actuación indicado deberá asegurarse de que se cumplen las siguientes medidas: 
          • (a) Con carácter general, todo diseño, desarrollo, implementación y operación deberá incorporar mecanismos de identificación, autenticación, control de acceso, auditoría e integridad, que se especificarán para cada caso concreto.
          • (b) Se deberán incorporar identificaciones seguras y únicas para la autenticación de usuarios.
          • (c) Para un correcto funcionamiento en materia de seguridad deberán compartirse las labores de seguridad entre usuarios, administradores y los encargados directos de la propia seguridad.
          • (d) Deberán tomarse todas las precauciones posibles para proteger físicamente los sistemas y prevenirlos frente al robo, destrucción o interrupción.
      • (f) Deberá existir un plan de recuperación del sistema para el caso en que se dé robo, destrucción o interrupción del servicio.
      • (g) Deberá asegurarse la confidencialidad de la información almacenada, tanto en formato electrónico como no electrónico.
      • (h) Todos los intervinientes en el plan de continuidad de negocio (plan de recuperación ante desastres) deberán conocer y saber aplicar cuando sea necesario dicho plan.
      • (i) El personal del área de systems deberá tener conocimiento de los procedimientos de recuperación de datos de carácter personal, de sanitización de los soportes de datos de carácter personal y del procedimiento de registro entrada/salida de dichos soportes.

 

El Responsable del Sistema de Seguridad de la Información (RSGSI) centraliza los esfuerzos globales de protección de los activos de BASETIS, a fin de asegurar el correcto funcionamiento de las tecnologías de la información que soportan los procesos de la organización. De forma genérica, los activos incluyen toda forma de información, además de las personas y la tecnología que soportan los procesos de información.

El Responsable del Sistema de Seguridad de la Información dispondrá de un inventario actualizado sobre los proveedores que contará con los siguientes datos: nombre y responsable de la contrata, teléfono y correo electrónico de contacto, responsable del contrato en BASETIS, actividades desarrolladas por el proveedor del servicio, fecha de inicio de los trabajos y fecha de finalización. Por cada proveedor, también deberá informarse de los usuarios y equipos corporativos utilizados. El responsable del proveedor en BASETIS, deberá informar al área de Responsable de Sistema de Seguridad de la Información cuando haya alteraciones de cualquiera de estos datos.

 

Confidencialidad de la Información

La confidencialidad de la información se define como la garantía de que la información no es divulgada de forma inadecuada a entidades o procesos.

Con el fin de preservarla:

      • El personal que tenga acceso a información de BASETIS, deberá considerar que dicha información, por defecto, tiene el carácter de Confidencial. Sólo se podrá considerar como información no confidencial aquella información de BASETIS a la que haya tenido acceso a través de los medios de difusión pública de información.
      • Los usuarios protegerán la información confidencial a la que tienen acceso, contra revelaciones no autorizadas o accidentales, modificación, destrucción o mal uso, cualquiera que sea el soporte en que se encuentre contenida esa información.
      • Se guardará por tiempo indefinido la máxima reserva y no se emitirá al exterior información confidencial en cualquier tipo de soporte, salvo que esté debidamente autorizado.
      • Se utilizará el menor número de informes en formato papel que contengan información confidencial y se mantendrán los mismos en lugar seguro y fuera del alcance de terceros.
      • En relación a la utilización de agendas de contactos dispuestas por BASETIS (por ejemplo, GmaiI) el personal únicamente introducirá determinados datos personales que sean indispensables como nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
      • Ningún colaborador externo en proyectos o trabajos puntuales deberá poseer, para usos no propios de su responsabilidad, ningún material o información propia o confiada a BASETIS tanto ahora como en el futuro.
      • En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado de BASETIS entre en posesión de información confidencial contenida en cualquier tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le confiera derecho alguno de posesión, titularidad o copia sobre dicha información.
      • Asimismo, el empleado de BASETIS deberá devolver el o los activos mencionados inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos y, en cualquier caso, a la finalización de la relación con la organización. La utilización continuada de la información en cualquier formato o soporte distinta a la pactada y sin conocimiento de BASETIS no supondrá, en ningún caso, una modificación de este punto.
      • Todas estas obligaciones continuarán vigentes tras la finalización de las actividades que el personal desarrolle para BASETIS.

El incumplimiento de estas obligaciones puede constituir un delito de revelación de secretos, previsto en el artículo 197 del Código Penal, que puede dar derecho a exigir compensaciones.

Para garantizar la seguridad de los Datos de Carácter Personal albergados en ficheros automatizados, el personal deberá observar las siguientes normas de actuación, además de las consideraciones ya mencionadas:

      • El personal sólo podrá crear ficheros temporales que contengan datos de carácter personal cuando sea necesario para el desempeño de su trabajo. Estos ficheros temporales nunca serán ubicados en unidades locales de disco de los puestos (ordenadores personales) del personal y deben ser destruidos cuando hayan dejado de ser útiles para la finalidad para la que se crearon.
      • La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicada dicha información, únicamente podrá ser autorizada por el responsable de dicha información o fichero.
      • El propietario de la información se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. 
      • Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar de acceso restringido al personal autorizado.

 

Información comercialmente sensible (ICS)

Las sociedades que realicen actividades reguladas tienen la prohibición de compartir información comercialmente sensible con las empresas del grupo al que pertenecen, en el caso de que éstas realicen actividades liberalizadas.

Por ello, es necesario que en la ejecución del servicio contratado BASETIS guarde la confidencialidad de la información comercialmente sensible que las diferentes empresas clientes le proporcionen.

Así, para facilitar el cumplimiento de la regulación relativa a la separación de actividades se incluirá en el contrato una cláusula que recoja dicha obligación por parte del proveedor.

A los efectos de este punto, se considerará información comercialmente sensible cualquier información concreta referida al ejercicio de las actividades reguladas que no sea pública y que, de comunicarse o haberse comunicado a las actividades liberalizadas, podría influir, de manera apreciable, en el resultado de su negocio o suponerles una ventaja competitiva en el desarrollo de las actividades liberalizadas que realizan.

BASETIS se someterá al tratamiento que los clientes tengan establecido para dicha información. Asimismo, se asegurará de que todos los medios humanos que intervengan en la ejecución del servicio respetan el deber de confidencialidad en los términos que han sido señalados.

 

Control de acceso físico a instalaciones de BASETIS.

Se establecen las siguientes normas:

      • El personal no podrá permanecer ni ejecutar trabajos en áreas no definidas previamente sin supervisión.
      • Se limitará el acceso al personal de soporte externo a las áreas de trabajo de BASETIS. Este acceso, como el de cualquier otra persona ajena que requiera acceder a estas áreas, se asignará únicamente cuando sea necesario y se encuentre autorizado, y siempre bajo la vigilancia de personal autorizado. El sistema de control mantendrá un registro de todos los accesos de personas ajenas.
      • Se acompañará a los visitantes en las oficinas de BASETIS y el sistema registrará la fecha y hora de su entrada y salida. Solo se permitirá el acceso previa identificación de la persona de contacto en BASETIS.

 

Uso apropiado de los recursos

Los recursos que BASETIS pone a disposición del personal, independientemente del tipo que sean (informáticos, datos, software, redes, sistemas de comunicación, etc.), están disponibles exclusivamente para cumplimentar las obligaciones y propósito de la operativa para la que fueron diseñados e implantados. Todo el personal usuario de dichos recursos debe saber que no tiene el derecho de confidencialidad en su uso. Queda terminantemente prohibido:

      • El uso de estos recursos para actividades no relacionadas con el propósito del servicio, o bien la extralimitación en su uso.
      • La búsqueda o explotación de vulnerabilidades en cualquier aplicación o equipos.
      • Los equipos y/o aplicaciones que no estén especificados como parte del software o de los estándares de los recursos informáticos propios de BASETIS  o bajo su supervisión.
      • Introducir en los sistemas de información o la red corporativa contenidos obscenos, amenazadores, inmorales u ofensivos.
      • Introducir voluntariamente cualquier tipo de malware (programas, macros, applets, controles ActiveX, etc.), grayware, dispositivo lógico, dispositivo físico o cualquier otro tipo de secuencia de órdenes que causen o sean susceptibles de causar cualquier tipo de alteración o daño en los recursos informáticos. El proveedor tendrá la obligación de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en los sistemas de cualquier elemento destinado a destruir o corromper los datos informáticos.
      • Intentar obtener otros derechos o accesos distintos a aquellos que les hayan sido asignados..
      • Intentar distorsionar o falsear los registros “log” de los sistemas de información.
      • Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemáticos.
      • Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo de otros usuarios, o dañar o alterar los recursos informáticos.
      • Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar los datos, programas o documentos electrónicos. Estos actos podrían constituir un delito de daños, según la legislación vigente.
      • Albergar datos de carácter personal en las unidades locales de disco de los puestos (ordenadores personales) de usuario.
      • Cualquier fichero introducido en la red corporativa o en el puesto de trabajo del usuario a través de soportes automatizados, Internet, correo electrónico o cualquier otro medio, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual, protección de datos de carácter personal y control de virus.
      • Conectar ordenadores no corporativos a la red de comunicaciones de BASETIS, excepto a la habilitada para ello (Basetis Guests), disponible para visitas, PROVEEDORES, etc. que necesiten de una conexión con acceso a Internet.

 

Protección frente a malware

Los recursos que el trabajador utiliza para la prestación del servicio a BASETIS deberán seguir las siguientes indicaciones:

      • Se mantendrán los sistemas al día con las últimas actualizaciones de seguridad disponibles.
      • El software antivirus se deberá instalar y usar en todos los servidores, en su caso, y en todos los ordenadores personales para reducir el riesgo operacional asociado con los virus u otro software malicioso.
      • El software antivirus deberá estar siempre habilitado. Se establecerá una actualización automática de los ficheros de definición de virus tanto en los ordenadores personales como servidores, en su caso, así como de bloqueo frente a la detección de virus informáticos.
      • Todo el software debe estar correctamente licenciado o ser open software por lo que se prohíbe expresamente el uso de software pirata, crackers, etc.
      • En caso de que sea detectado cualquier malware en uno de los equipos conectados a la red de BASETIS, dicho equipo será desconectado de dicha red sin que sea necesario aviso previo. El Responsable del Sistema de Seguridad de la Información notificará con los medios disponibles al área correspondiente el problema encontrado y procederá a la eliminación del malware detectado. La conexión de nuevo a la red corporativa debe ser autorizada por el Responsable de Sistema de Seguridad de la Información, la cual solicitará toda la información necesaria sobre el equipo con el fin de asegurar la limpieza del mismo.

 

Intercambio de información

Se establecen las siguientes normas:

      • Los usuarios no deben ocultar o manipular su identidad bajo ninguna circunstancia.
      • En los casos en que BASETIS asigne un usuario genérico, se mantendrá una relación actualizada de las personas que utilizan dicho usuario genérico en cada momento.
      • La distribución de información ya sea en formato digital o papel se realizará mediante los dispositivos facilitados por BASETIS para tal cometido y con la finalidad exclusiva de facilitar las funciones del puesto. BASETIS se reserva, en función del riesgo identificado, la implementación de medidas de control, registro y auditoría sobre estos dispositivos de difusión.

En relación al intercambio de información, se considerarán no autorizadas las siguientes actividades:

      • Transmisión o recepción de material protegido por Copyright infringiendo la Ley de Protección Intelectual.
      • Transmisión o recepción de toda clase de material pornográfico, mensajes o bromas de una naturaleza sexual explícita, declaraciones discriminatorias raciales y cualquier otra clase de declaración o mensaje clasificable como ofensivo o ilegal.
      • Transferencia de ficheros a terceras partes no autorizadas de material de BASETIS o material que es de alguna u otra manera confidencial.
      • Transmisión o recepción de ficheros que infrinjan la Ley de Protección de Datos de Carácter Personal o directrices de BASETIS.
      • Transmisión o recepción de juegos y/o aplicaciones no relacionadas con el negocio.
      • Participación en actividades de Internet como grupos de noticias, juegos, apuestas u otras que no estén directamente relacionadas con el negocio.
      • Todas las actividades que puedan dañar la buena reputación de BASETIS están prohibidas en Internet y en cualquier otro lugar. Esto se refiere también a actividades realizadas para el propio beneficio económico del usuario o de terceras partes, y a actividades de naturaleza política.
      • Toda salida de información que contenga datos de carácter personal (tanto en soportes informáticos como en papel o por correo electrónico) sólo podrá ser realizada por personal autorizado y con el debido permiso.
      • Si el tratamiento de datos de carácter personal se llevase a cabo fuera de los locales donde está ubicado el fichero, dicho tratamiento deberá ser autorizado expresamente por el responsable del fichero y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.
      • La transmisión de datos de carácter personal de nivel alto a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

 

Uso del correo electrónico

La cuenta de correo electrónico tiene la consideración de herramienta que la organización  debe aportar para el desempeño de los trabajos.

Se establece el siguiente criterio general:

      • Cada usuario de los sistemas informáticos de BASETIS dispondrá de una cuenta de correo electrónico específica y única, asignada exclusivamente a dicho usuario (xxx@basetis.com)
      • Los usuarios externos no dispondrán de una dirección de correo de BASETIS. 

De forma excepcional, en consideración a las circunstancias que se justifiquen, y siempre previa autorización expresa, un usuario externo podría disponer de una dirección de correo de BASETIS. En tal caso, el responsable del servicio y/o proyecto de BASETIS para el que esa persona trabajará debe cursar la correspondiente solicitud ante el equipo de Systems y una vez aprobada se crea una cuenta de la misma manera que la de un usuario interno, pero se asigna a una unidad organizativa diferente llamada «Externals». A efectos prácticos no hay diferencias en las cuentas. De ser necesario se restringirán los accesos a servicios. 

La utilización del correo electrónico por parte de los usuarios externos estará sujeta a las siguientes normas:

      • Se considera al correo electrónico una herramienta más de trabajo provista al usuario con el fin de ser utilizada conforme al uso para el cual está destinada. Esta consideración facultará a BASETIS a implementar sistemas de control destinados a velar por la protección y el buen uso de este recurso. Esta facultad, no obstante, se ejercerá salvaguardando la dignidad del usuario y su derecho a la intimidad.
      • El sistema de correo electrónico de BASETIS no deberá ser usado para enviar mensajes fraudulentos, obscenos, amenazadores u otro tipo de comunicados similares.
      • Los usuarios no deberán crear, enviar o reenviar mensajes publicitarios o piramidales (mensajes que se extienden a múltiples usuarios).
      • No está permitida la transmisión vía correo electrónico de información que contenga datos de carácter personal de nivel alto, salvo que la comunicación electrónica esté cifrada y el envío esté expresamente permitido.
      • No está permitida la transmisión vía correo electrónico de información confidencial de BASETIS  salvo que la comunicación electrónica esté bien cifrada y el envío esté expresamente permitido.

 

 Conectividad a Internet

La utilización de internet por parte de los usuarios estará sujeta a las siguientes normas:

      • Internet es una herramienta de trabajo. Todas las actividades en Internet deberán estar en relación con tareas y actividades de trabajo. Los usuarios no deben buscar o visitar sitios que no sirvan como soporte al servicio prestado a BASETIS.
      • Todo el tráfico desde y hacia Internet será inspeccionado en búsqueda de amenazas. En caso de que algún equipo se encuentre accediendo a sitios clasificados como maliciosos (pornografía, juego, etc.) o ajenos al negocio podrá ser desconectado de la red sin que sea necesario aviso previo.
      • BASETIS se reserva el derecho de, en lo permitido por el marco legal, y sin aviso previo, limitar el acceso total o parcial a Internet a partir de la red informática y terminales de la organización.
      • El acceso a Internet desde la red corporativa se restringe por medio de dispositivos de control incorporados en la misma. La utilización de otros medios de conexión deberá ser previamente validada y estará sujeta a las anteriores consideraciones sobre el uso de Internet.
      • Los usuarios no deberán usar el nombre, símbolo, logotipo de BASETIS o símbolos similares al mismo, en ningún elemento de Internet (correo electrónico, páginas web, etc.) no justificado por actividades estrictamente laborales.
      • Únicamente se permitirá la transferencia de datos de o a Internet en conexión con las actividades del servicio prestado a BASETIS. La transferencia de ficheros no relativa a estas actividades (por ejemplo, la descarga de juegos de ordenador, ficheros de sonido y contenidos multimedia) está prohibida, quedando expresamente prohibido el uso de software tipo P2P o torrents.

 

 Responsabilidad del usuario

Todo usuario, por el mero hecho de serlo, asume determinadas responsabilidades:

      • Cada usuario será responsable de su identificador (cuenta de empresa) y todo lo que de él se derive, por lo que es imprescindible que éste sea únicamente conocido por el propio usuario; no deberá revelarlo al resto de usuarios bajo ningún concepto.
      • El usuario será responsable de todas las acciones registradas en los sistemas informáticos de BASETIS con su identificador.
      • Los usuarios deberán seguir las directivas definidas en relación a la gestión de las contraseñas.
      • Los usuarios deberán asegurar que los equipos queden protegidos cuando estén desatendidos.

Se establecerán las siguientes normas de escritorio limpio para proteger documentos en papel y dispositivos de almacenamiento removibles con el fin de reducir los riesgos de acceso no autorizado, pérdida y daño de la información, tanto durante el horario normal de trabajo como fuera del mismo:

      • Almacenar bajo llave, cuando corresponda, los documentos en papel y los medios informáticos, en mobiliario seguro cuando no están siendo utilizados, especialmente fuera del horario de trabajo.
      • No dejar desatendidos los equipos asignados a funciones críticas y bloquear su acceso cuando sea estrictamente necesario.
      • Asegurar la confidencialidad de los documentos tanto en los puntos de recepción y envío de información (correo postal, máquinas de escáner y fax) como en los equipos de duplicado (fotocopiadora, fax y escáner).
      • La reproducción o envío de información con este tipo de dispositivos queda bajo la responsabilidad del usuario.
      • Los listados con datos de carácter personal o información confidencial deberán almacenarse en lugar seguro al que únicamente tenga acceso personal autorizado.
      • Los listados con datos de carácter personal o información confidencial deberán eliminarse de manera segura una vez no sean necesarios.

En caso de identificarse incidentes o debilidades relacionadas con la seguridad de la información, se prohíbe a los usuarios la realización de pruebas para detectar y/o utilizar esta supuesta debilidad o incidente de seguridad.

 

Equipos de usuario

Sobre el equipamiento informático asociado al puesto del usuario se establecen los siguientes principios:

      • Todos los puestos de usuario con conectividad a recursos informáticos de BASETIS estarán controlados por Helpdesk/Systems.
      • Ningún usuario intentará por ningún medio transgredir el sistema de seguridad y las autorizaciones, ni dispondrá de herramientas que puedan realizarlo.
      • Se prohíbe la captura de tráficos de red por parte de los usuarios, salvo que se estén llevando a cabo tareas de auditoría expresamente autorizadas por el área de Responsable de Sistema de Seguridad de la Información de BASETIS.
      • Cuando se desatienda un puesto durante un periodo corto de tiempo el usuario deberá activar su bloqueo. Cuando se termina la jornada de trabajo se debe apagar el equipo.

 

 Identificadores de usuario y contraseñas

Todo el personal que accede a los sistemas de información de BASETIS dentro de su ámbito de trabajo, es responsable de asegurar que los datos, las aplicaciones y los recursos informáticos sean usados únicamente para el desarrollo de la operativa propia para la que fueron creados e implantados.

Este personal está obligado a utilizar los recursos de BASETIS y los datos contenidos en ellos sin incurrir en actividades que puedan ser consideradas ilícitas o ilegales.

Para obtener el acceso a los sistemas de información este personal debe disponer de un acceso autorizado (identificador de usuario y contraseña) sobre el que, como usuarios de sistemas de información, deben observar los siguientes principios de actuación y buenas prácticas:

      • Cuando el usuario recibe su identificador de acceso a los sistemas de BASETIS se considera que acepta formalmente la Política de Seguridad vigente.
      • Los usuarios deben mantener sus credenciales de acceso confidenciales.
      • Todos los usuarios con acceso a un sistema de información dispondrán de una única autorización de acceso compuesta de identificador de usuario y contraseña.
      • El primer  log on desde equipos externos es notificado al responsable de la cuenta (equipo de Systems). En este caso se valida con el usuario que ha hecho el log on que efectivamente fue él o ella. Los sucesivos “log on” desde ese equipo ya no son notificados porque se considera un equipo válido. Si ese log on no hubiera sido realizado por el usuario, se procede a investigar la causa y a un cambio de contraseña del usuario.
      • Los usuarios son responsables de toda actividad relacionada con el uso de su acceso autorizado.
      • Los usuarios no deben utilizar ningún acceso autorizado de otro usuario, aunque dispongan de la autorización del propietario.
      • Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
      • Los usuarios no deben incluir contraseñas en los procesos automatizados de inicio de sesión, por ejemplo, aquellas almacenadas en una tecla de función o macro.
      • Las contraseñas estarán constituidas por combinación de caracteres alfabéticos y numéricos. Todo lo relacionado con las contraseñas de usuario se encuentra recogido en la Política de Control de Accesos.
      • Los usuarios no deben revelar bajo ningún concepto su identificador y/o contraseña a otra persona ni mantenerla por escrito a la vista ni al alcance de terceros.
      • Los usuarios no deben utilizar las mismas contraseñas para uso personal y profesional.
      • Los accesos autorizados temporales se configurarán para un corto período de tiempo. Una vez expirado dicho período, se desactivarán los sistemas.
      • En relación a datos de carácter personal, exclusivamente el personal autorizado para ello en el Documento de Seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.
      • Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y contraseña) está siendo utilizado por otra persona, debe proceder de inmediato al cambio de su contraseña y contactar con el área de helpdesk  para notificar la incidencia.

 

Software

Sobre el software se establecen los siguientes principios:

      • Todo el personal que accede a los sistemas de información de BASETIS debe utilizar únicamente las versiones de software indicadas y siguiendo sus normas de utilización.
      • Todo el personal tiene prohibido instalar copias ilegales de cualquier programa, incluidos los estandarizados.
      • Se prohíbe el uso de software no validado.
      • Se prohíbe el uso de software sin su respectiva licencia.
      • Se prohíbe el uso de software crackeado o pirateado.

 

Gestión de accesos

Existe una Política formal para el registro, concesión, alteración y revocación de accesos a los usuarios, aplicable a todos los sistemas de Información de BASETIS.

Se establecen los siguientes principios:

      • Existe una Política formal para la gestión de los accesos de los usuarios a los sistemas.
      • Se debe asegurar la comunicación de las reglas y responsabilidades en el uso de los sistemas de información de BASETIS a los usuarios al atribuirles cualquier acceso a los sistemas.
      • Para cada sistema existe un conjunto de perfiles y privilegios que se atribuyen a los usuarios de acuerdo a sus necesidades.
      • Los privilegios de acceso a los sistemas se atribuyen a los usuarios considerando las necesidades efectivas para el desempeño de sus funciones, no debiendo ser atribuidos ni por exceso ni por defecto.
      • Los sistemas de BASETIS, por omisión, bloquean el acceso a los usuarios no autorizados, hasta que el responsable de un sistema/aplicación no emite dicha autorización.
      • Los privilegios de acceso a los sistemas garantizan una correcta segregación de funciones. En los casos en los que no es posible garantizar la segregación de funciones, están implementados los controles compensatorios adecuados.
      • Cualquier solicitud de atribución o modificación de privilegios de acceso a los sistemas de BASETIS se realiza a través del Responsable de Área y/o el RSGSI.
      • Los accesos y respectivos privilegios solo se implementan en los sistemas después de obtener todas las aprobaciones necesarias.
      • Se mantiene un registro formal de todos los usuarios autorizados y respectivos privilegios de acceso a los sistemas de BASETIS.
      • Las modificaciones en las necesidades de acceso a los sistemas, deben llevar aparejados los ajustes a los derechos de acceso.
      • Los privilegios de acceso a los sistemas atribuidos a los usuarios son revocados de forma automática cuando termina su relación profesional con BASETIS.
      • Se realiza una revisión periódica con el fin de eliminar o bloquear cuentas redundantes o innecesarias.
      • Los usuarios deben tener asociados, identificadores individuales (user ID), protegidos por contraseña.
      • El uso de identificadores genéricos (cuentas genéricas o de grupo) se debe permitir solo en casos excepcionales debidamente justificados, aprobados y registrados.
      • Las cuentas genéricas tienen asociado un usuario individual responsable de esa cuenta.
      • La nomenclatura utilizada en la generación de los identificadores obedece a reglas definidas por BASETIS.
      • El identificador de usuario permite reconocer su identidad, pero nunca sus niveles de privilegios.
      • El identificador debe ser personal, de uso exclusivo y único para todos los sistemas (cuando sea técnicamente viable).
      • Los identificadores de los usuarios que ya no tienen vínculo con BASETIS no pueden ser atribuidos a otros usuarios.
      • En los casos de áreas de gran rotación referidas en el punto anterior, debe existir una aprobación formal de la excepción por el responsable del área.
      • Para las excepciones debe quedar registrado y mantenido un histórico de las personas asociadas a un user ID y el tiempo que dure dicha asociación (fechas de inicio y de fin).
      • BASETIS se reserva el derecho de, sin aviso previo, bloquear, suspender, modificar y monitorear a los usuarios de sus sistemas y los respectivos privilegios de acceso.

 

Propiedad intelectual

En relación a la Propiedad Intelectual se aplicarán los siguientes principios:

      • Los usuarios que acceden a Internet a partir de la red informática y terminales de BASETIS son responsables de respetar los derechos de propiedad intelectual aplicables a los contenidos accedidos.
      • Se garantizará el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual.
      • Los usuarios únicamente podrán utilizar material autorizado por BASETIS para el desarrollo de sus funciones.
      • Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia.
      • Asimismo, queda prohibido el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual sin la debida autorización.
      • BASETIS únicamente autorizará el uso de material producido por el mismo, o material autorizado o suministrado al mismo por su titular, conforme los términos y condiciones acordadas y lo dispuesto por la normativa vigente.

 

 Incidencias

En el caso de detectarse alguna incidencia relacionada con los sistemas de información se seguirán las siguientes normas:

      • Todo el personal deberá ponerse en contacto con el Responsable del Sistema de Seguridad de la Información (RSGSI) en caso de que detecte cualquier incidencia relacionada con la información o los recursos informáticos de BASETIS que pueda afectar el SGSI. 
      • Cualquier usuario podrá trasladar al Responsable de Sistema de Seguridad de la Información (RSGSI) a (iso27001@basetis.com) sugerencias y/o debilidades, que pueda tener relación con la seguridad de la información y las directrices contempladas en la presente Política.
      • Se deberá notificar al Responsable de Sistema de Seguridad de la Información cualquier incidencia que se detecte y que afecte o pueda afectar a la seguridad de los datos de carácter personal: pérdida de listados y/o disquetes, sospechas de uso indebido del acceso autorizado por otras personas, recuperación de datos, etc.
      • BASETIS centraliza la recogida, análisis y gestión de las incidencias recibidas.

 

4.4 Requisitos de seguridad para la externalización

La empresa proveedora (PROVEEDOR) debe documentar y aplicar la sistemática adecuada para asegurar los siguientes requisitos:

      • El personal afectado debe conocer y aplicar la Política de Seguridad.
      • Deben cumplirse los requisitos reglamentarios y normativos aplicables.
      • BASETIS facilitará al proveedor un documento con las directrices a seguir para la conexión a su red corporativa y la instalación de los puestos de trabajo.
      • La lista de usuarios autorizados y el registro de accesos estarán disponibles para su verificación por parte del responsable del servicio.
      • El acceso ocasional a las instalaciones de personas no autorizadas deberá quedar registrado. Estas personas estarán debidamente identificadas y acompañadas en todo momento por personal autorizado.
      • El responsable del servicio por parte de BASETIS podrá verificar estas condiciones personalmente o delegar en otra persona de BASETIS o en otra empresa especializada. Deberá facilitarse el acceso para los aspectos relacionados con auditorías internas o externas cuando BASETIS lo estime conveniente.
      • El PROVEEDOR notificará al Responsable de Sistema de Seguridad de la Información (iso27001@basetis.com) si se ha producido una brecha de seguridad o cualquier cambio en el sistema de seguridad en el momento en que se detecte. Dicha brecha será tomada como una no conformidad según su sistema de Seguridad de la Información ISO 27001.
      • El sistema debe tener en cuenta la Política de devolución/destrucción de los datos y activos una vez finalizado el servicio. En caso de detectarse algún incumplimiento de estos requisitos, será registrado en su sistema de Seguridad de la Información ISO 27001 dónde se establecerán las acciones correctivas y preventivas pertinentes y se dará seguimiento de la misma hasta su cierre en un plazo máximo acordado con el responsable del servicio.

BASETIS se reserva el derecho de exigir:

      • La implementación de cualquier mecanismo que BASETIS considere necesario para garantizar la seguridad de acceso a sus datos y activos. Asimismo, podrá exigir las penalizaciones y/o las garantías apropiadas en función de los riesgos de incumplimiento o deterioro de los activos del servicio.
      • La presencia y colaboración, de todas las empresas colaboradoras y proveedoras y su mejor ayuda en la restauración –bajo la coordinación directa de BASETIS – de la actividad normal de sus operaciones de negocio, después de que éstas hayan sido interrumpidas por una emergencia o desastre.
      • La tenencia de políticas y planes de continuidad de negocio o contingencias que permitan asegurar la continuidad de las actividades de estas compañías en el caso de que se vieran afectadas por una catástrofe o situación de desastre. De igual forma, BASETIS se reserva el derecho de auditar la existencia y grado de implantación de los mencionados planes.

4.5  Seguimiento y control (Mejora continua)

EL SGSI de BASETIS debe mejorar continuamente la idoneidad, adecuación y su eficacia mediante las auditorías internas y externas, la Revisión por la Dirección, el análisis de los riesgos, las No Conformidades, y las acciones correctivas, entre otras herramientas propias del sistema de gestión.

Por esta razón  para asegurar dicha mejora, y velar por el correcto uso de los mencionados recursos, a través de los mecanismos formales y técnicos que se considere oportunos BASETIS comprobará, ya sea de forma periódica o cuando por razones específicas de seguridad o del servicio resulte conveniente, la correcta utilización de dichos recursos por todos los usuarios. En caso de apreciar que alguien utiliza incorrectamente aplicaciones y/o datos, principalmente, así como cualquier otro recurso informático, se le comunicará tal circunstancia y se le facilitará, en su caso, la formación necesaria para el correcto uso de los recursos.

En caso de apreciarse mala fe en la incorrecta utilización de las aplicaciones y/o datos, principalmente, así como cualquier otro recurso informático, BASETIS ejercerá las acciones que legalmente le amparen para la protección de sus derechos.

 


5 Actualización de la Política de Seguridad

Debido a la propia evolución de la tecnología, las amenazas de seguridad y a las nuevas aportaciones legales en la materia,  BASETIS se reserva el derecho a modificar esta Política cuando sea necesario. 

La revisión incluirá oportunidades de evaluación para mejorar la política y un acercamiento a la gestión de seguridad de información en respuesta a los cambios del ambiente organizacional, circunstancias del negocio, condiciones legales o cambios en el ambiente técnico. Se tendrán en cuenta los resultados de las revisiones de la gestión de la seguridad, pero también de las actividades generales propias de BASETIS relevantes para el alcance de aplicación del SGSI.

Los cambios realizados en esta Política serán divulgados a todas las personas trabajadoras de la organización, como también a las empresas proveedoras de servicios a las que les aplique utilizando los medios que se consideren pertinentes. Es responsabilidad de cada empresa proveedora garantizar la lectura y conocimiento de la Política de Seguridad más reciente de BASETIS por parte de su personal.


6  Otros

6.1 Abreviaturas, Acrónimos y Definiciones

LOPD Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

RSGSI Responsable del Sistema de Gestión de Seguridad de la Información

ICS Responsable del Sistema de Gestión de Seguridad de la Información