Política de seguridad de la información ENS

1. Objeto

El presente documento define la política de seguridad de la información de la información de Linube conforme al ENS.

2. Alcance

Este documento aplica a todas las partes interesadas y activos de información de Linube.

3. Desarrollo

Linube depende de los activos de información para alcanzar sus objetivos.

Estos activos son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.

A continuación, se presentan los principales objetivos de seguridad de la información de Linube.

3.1. Prevención

Las personas deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad de la información de seguridad de la información.

Para ello, Linube implementa las medidas mínimas de seguridad de la información determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de la información de todas las personas, están claramente definidos y documentados.

Para garantizar el cumplimiento de la política, Linube:

• Autoriza los activos de información antes de entrar en operación.
• Evalúa regularmente la seguridad de la información, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
• Solicita la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

3.2. Detección

Dado que los servicios y los activos se pueden degradar rápidamente debido a incidentes de seguridad de la información, que van desde una simple desaceleración hasta su detención, se monitoriza la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.

La monitorización es especialmente relevante cuando se establecen líneas de defensa. Se han establecido mecanismos de detección, análisis y reporte que lleguen a las personas responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

3.3. Respuesta

Linube ha establecido:

• Mecanismos para responder eficazmente a los incidentes de seguridad de la información.
• Un punto de contacto para las comunicaciones con respecto a incidentes de seguridad de la información detectados.
• Protocolos para el intercambio de información relacionada con el incidente.

3.4. Recuperación

Para garantizar la disponibilidad de los servicios críticos, Linube ha desarrollado planes de continuidad de los servicios como parte de su plan general de continuidad de negocio y actividades de recuperación.

4. Marco normativo

Linube está sujeta a las siguientes leyes, reglamentos y otra normativa, nacional e internacional en materia de seguridad de la información:

• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 (vigente en aquellos artículos que no contradigan el RGPD)
• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual.
• REGLAMENTO (UE) 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento Europeo eIDAS).
• Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
• Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
• Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
• Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.

5. Organización de la seguridad de la información

En Linube los roles relevantes en materia de seguridad de la información son los siguientes (se definen en el documento “Categorización de los sistemas de información”):

• El comité de seguridad de la información es la máxima autoridad y responsable en materia de seguridad de la información de Linube, coordina la gestión del cumplimiento de todos los requisitos de cliente, legales y reglamentarios en esta materia, y gestiona los potenciales conflictos. En el caso de Linube está formado por el responsable de seguridad y el CTO.
• El responsable de la información determina los requisitos de seguridad de la información tratada, según los parámetros del Anexo I del ENS.
• El responsable del servicio determina los requisitos de seguridad de la información tratada, según los parámetros del Anexo I del ENS.
• El responsable de seguridad determina las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de la información y de los servicios, siendo jerárquicamente independiente del responsable del sistema.
• El responsable del sistema se encarga de la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el responsable de la seguridad.

El punto de contacto (POC) de Linube es la dirección de correo electrónico [email protected].

6. Revisión, aprobación y comunicación de la política de seguridad de la información

El comité de seguridad de la información aprueba la política de seguridad de la información, y la revisa al menos anualmente.

La política de seguridad de la información está publicada en la página Web corporativa.

7. Datos de carácter personal

Linube trata datos de carácter personal conforme a la legislación vigente en materia de protección de datos de carácter personal.

8. Análisis y gestión de riesgos de seguridad de la información

De todos los activos de información de Linube se ha realizado un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.

Este análisis se revisa y, si procede actualiza:

• regularmente, al menos una vez al año.
• cuando cambia la información manejada.
• cuando cambian los servicios prestados.
• cuando ocurre un incidente grave de seguridad de la información.
• cuando se reportan vulnerabilidades graves.

9. Desarrollo de la política de seguridad de la información de la información

Esta política de seguridad de la información se desarrolla en otras políticas más concretas, normativas, procedimientos y medidas de seguridad, en base a los siguientes principios:

• Organización e implantación del proceso de seguridad.
• Análisis y gestión de los riesgos.
• Gestión de personal.
• Profesionalidad.
• Autorización y control de los accesos.
• Protección de las instalaciones.
• Adquisición de productos de seguridad y contratación de servicios de seguridad.
• Mínimo privilegio.
• Integridad y actualización del sistema.
• Protección de la información almacenada y en tránsito.
• Prevención ante otros sistemas de información interconectados.
• Registro de la actividad y detección de código dañino.
• Incidentes de seguridad.
• Continuidad de la actividad.
• Mejora continua del proceso de seguridad.

10. Obligaciones de las personas

Todas las personas, propias y subcontratadas, de Linube tienen la obligación de conocer y cumplir esta política de seguridad de la información de la información y el resto de documentación que la desarrolla.

Todas las personas son concienciadas regularmente, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de los sistemas de información recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

11. Terceras partes

Cuando Linube presta servicios o trate información de otras organizaciones:

• Se les hace partícipes de esta política de seguridad de la información.
• Se establecen canales para reporte y coordinación al comité de seguridad de la información.
• Se establecen procedimientos de actuación para la reacción ante incidentes de seguridad de la información de seguridad.

Cuando Linube utiliza servicios de terceros o ceda información a terceros:

• Se les hace partícipes de esta política y de la normativa de seguridad de la información que ataña a dichos servicios o información.
• Dicha tercera parte queda sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
• Se establecen procedimientos específicos de reporte y resolución de incidencias.
• Se requiere que el personal de terceros esté adecuadamente concienciado en materia de seguridad de la información, al menos al mismo nivel que el establecido en esta política.
• Cuando algún aspecto de la política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requiere un informe del responsable de seguridad de la información que precisa los riesgos en que se incurre y la forma de tratarlos. Se requiere la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

Aprobado por el Director General a 4 de abril de 2025
Descargar