Política de seguridad de la información ENS
1. Objeto
El presente documento define la política de seguridad de la información de la información de Linube conforme al ENS.
2. Alcance
Este documento aplica a todas las partes interesadas y activos de información de Linube.
3. Desarrollo
Linube depende de los activos de información para alcanzar sus objetivos.
Estos activos son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.
A continuación, se presentan los principales objetivos de seguridad de la información de Linube.
3.1. Prevención
Las personas deben evitar, o al menos prevenir en la medida de lo posible, que la información o
los servicios se vean perjudicados por incidentes de seguridad de la información de seguridad
de la información.
Para ello, Linube implementa las medidas mínimas de seguridad de la información
determinadas por el ENS, así como cualquier control adicional identificado a través de una
evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad
de la información de todas las personas, están claramente definidos y documentados.
Para garantizar el cumplimiento de la política, Linube:
- Autoriza los activos de información antes de entrar en operación.
- Evalúa regularmente la seguridad de la información, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- Solicita la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
3.2. Detección
Dado que los servicios y los activos se pueden degradar rápidamente debido a incidentes de
seguridad de la información, que van desde una simple desaceleración hasta su detención, se
monitoriza la operación de manera continua para detectar anomalías en los niveles de
prestación de los servicios y actuar en consecuencia.
La monitorización es especialmente relevante cuando se establecen líneas de defensa.
Se han establecido mecanismos de detección, análisis y reporte que lleguen a las personas
responsables regularmente y cuando se produce una desviación significativa de los parámetros
que se hayan preestablecido como normales.
3.3. Respuesta
Linube ha establecido:
- Mecanismos para responder eficazmente a los incidentes de seguridad de la información.
- Un punto de contacto para las comunicaciones con respecto a incidentes de seguridad de la información detectados.
- Protocolos para el intercambio de información relacionada con el incidente.
3.4. Recuperación
Para garantizar la disponibilidad de los servicios críticos, Linube ha desarrollado planes de
continuidad de los servicios como parte de su plan general de continuidad de negocio y
actividades de recuperación.
4. Marco normativo
Linube está sujeta a las siguientes leyes, reglamentos y otra normativa, nacional e internacional
en materia de seguridad de la información:
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de
Seguridad
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la Directiva
95/46/CE (Reglamento general de protección de datos)
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía
de los derechos digitales
- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999 (vigente en aquellos artículos que no contradigan
el RGPD)
- Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio
electrónico
- Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido
de la Ley de Propiedad Intelectual.
- REGLAMENTO (UE) 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio
de 2014 relativo a la identificación electrónica y los servicios de confianza para las
transacciones electrónicas en el mercado interior (Reglamento Europeo eIDAS).
- Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones
Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado
de la Seguridad.
- Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones
Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con
el Esquema Nacional de Seguridad.
- Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por
la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de
los Sistemas de Información.
- Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la
que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de
Seguridad.
5. Organización de la seguridad de la información
En Linube los roles relevantes en materia de seguridad de la información son los siguientes (se
definen en el documento “Categorización de los sistemas de información”):
- El comité de seguridad de la información es la máxima autoridad y responsable en
materia de seguridad de la información de Linube, coordina la gestión del
cumplimiento de todos los requisitos de cliente, legales y reglamentarios en esta
materia, y gestiona los potenciales conflictos. En el caso de Linube está formado por el
responsable de seguridad y el CTO.
- El responsable de la información determina los requisitos de seguridad de la
información tratada, según los parámetros del Anexo I del ENS.
- El responsable del servicio determina los requisitos de seguridad de la información
tratada, según los parámetros del Anexo I del ENS.
- El responsable de seguridad determina las decisiones de seguridad pertinentes para
satisfacer los requisitos establecidos por los responsables de la información y de los
servicios, siendo jerárquicamente independiente del responsable del sistema.
- El responsable del sistema se encarga de la operación del sistema de información,
atendiendo a las medidas de seguridad determinadas por el responsable de la
seguridad.
El punto de contacto (POC) de Linube es la dirección de correo electrónico
[email protected].
6. Revisión, aprobación y comunicación de la política de seguridad de la información
El comité de seguridad de la información aprueba la política de seguridad de la información, y
la revisa al menos anualmente.
La política de seguridad de la información está publicada en la página Web corporativa.
7. Datos de carácter personal
Linube trata datos de carácter personal conforme a la legislación vigente en materia de
protección de datos de carácter personal.
8. Análisis y gestión de riesgos de seguridad de la información
De todos los activos de información de Linube se ha realizado un análisis de riesgos, evaluando
las amenazas y los riesgos a los que están expuestos.
Este análisis se revisa y, si procede actualiza:
- regularmente, al menos una vez al año.
- cuando cambia la información manejada.
- cuando cambian los servicios prestados.
- cuando ocurre un incidente grave de seguridad de la información.
- cuando se reportan vulnerabilidades graves.
9. Desarrollo de la política de seguridad de la información de la información
Esta política de seguridad de la información se desarrolla en otras políticas más concretas,
normativas, procedimientos y medidas de seguridad, en base a los siguientes principios:
- Organización e implantación del proceso de seguridad.
- Análisis y gestión de los riesgos.
- Gestión de personal.
- Profesionalidad.
- Autorización y control de los accesos.
- Protección de las instalaciones.
- Adquisición de productos de seguridad y contratación de servicios de seguridad.
- Mínimo privilegio.
- Integridad y actualización del sistema.
- Protección de la información almacenada y en tránsito.
- Prevención ante otros sistemas de información interconectados.
- Registro de la actividad y detección de código dañino.
- Incidentes de seguridad.
- Continuidad de la actividad.
- Mejora continua del proceso de seguridad.
10. Obligaciones de las personas
Todas las personas, propias y subcontratadas, de Linube tienen la obligación de conocer y
cumplir esta política de seguridad de la información de la información y el resto de
documentación que la desarrolla.
Todas las personas son concienciadas regularmente, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de los sistemas de
información recibirán formación para el manejo seguro de los sistemas en la medida en que la
necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una
responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de
trabajo o de responsabilidades en el mismo.
11. Terceras partes
Cuando Linube presta servicios o trate información de otras organizaciones:
- Se les hace partícipes de esta política de seguridad de la información.
- Se establecen canales para reporte y coordinación al comité de seguridad de la
información.
- Se establecen procedimientos de actuación para la reacción ante incidentes de
seguridad de la información de seguridad.
Cuando Linube utiliza servicios de terceros o ceda información a terceros:
- Se les hace partícipes de esta política y de la normativa de seguridad de la información
que ataña a dichos servicios o información.
- Dicha tercera parte queda sujeta a las obligaciones establecidas en dicha normativa,
pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
- Se establecen procedimientos específicos de reporte y resolución de incidencias.
- Se requiere que el personal de terceros esté adecuadamente concienciado en materia
de seguridad de la información, al menos al mismo nivel que el establecido en esta
política.
- Cuando algún aspecto de la política no pueda ser satisfecho por una tercera parte
según se requiere en los párrafos anteriores, se requiere un informe del responsable
de seguridad de la información que precisa los riesgos en que se incurre y la forma de
tratarlos. Se requiere la aprobación de este informe por los responsables de la
información y los servicios afectados antes de seguir adelante.
Aprobado por el Director General a 4 de abril de 2025
Descargar