Política de Seguridad de la Información del ENS RD 311/2022

Qualitas contribuye, a través de su actividad en la implantación de soluciones innovadoras y servicios asociados a tecnología y datos, a la creación de valor y riqueza para sus clientes y la sociedad. En nuestra actividad aspiramos a ser útiles y rentables a nuestros clientes, ayudándoles a generar nuevo conocimiento y a mejorar sus procesos de negocio cada día. De la misma forma aspiramos a contribuir a una mejora del entorno y la sociedad en la que estamos, y de las personas una a una, ello a través de la realización de un trabajo creativo, comprometido y responsable.

La propuesta de valor de Qualitas está orientada a generar conocimiento y soluciones tecnológicas inovadoras propietarias con un valor y una utlidad diferenciada reconocida por los clientes que la precisan y que la han requerido. Conseguimos la excelencia en el marco de alianzas de cooperación estables y leales en un marco internacional con los clientes operacionales y los centros de I+D más avanzados, así como con nuestros sócios industriales aspirando a generar nuevas soluciones y nuevo conocimiento que sea la base de la actividad en el futuro. La innovación y el desarrollo e implementación de nuevas ideas y conceptos es sobre lo que construye la empresa su ventaja competitiva y en lo que se apoya su actividad internacional e intersectorial exitosa.

SERVIR Y RESOLVER CON INTELIGENCIA Y EFICACIA las necesidades de monitorización del medio y de sus procesos, y las necesidades de gestión de la información de nuestros clientes, ESTA ES LA RAZÓN DE SER DE QUALITAS. Ponemos a disposición de nuestros clientes las mejores capacidades en el marco de contratos de suministro, proyectos de construcción llave en mano, o en el marco de proyectos de I+D colaborativo participando en el riesgo de desarrollo. Através de las soluciones innovadoras que implantamos aspiramos a integrarnos en la cadena de valor de nuestros clientes con arreglo a sus requerimientos contribuyendo a mejorar su resultado. De esta forma, a través de la mejora de la productividad y eficacia de nuestros clientes y de la sociedad de la que somos parte, cumplimos con nuestra misión y razón de ser.

PRINCIPIOS DE ESTA POLÍTICA:

La política de seguridad de la información integra un conjunto de directrices que rigen la forma en que QUALITAS gestiona y protege la información que trata y los servicios que presta, estando preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.

PREVENCIÓN

QUALITAS evita que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello se cuenta con Dirección, que entres sus funciones tiene como herramientas y objetivos:

– Proteger la información y los sistemas de la organización de las amenazas y vulnerabilidades de seguridad.

– Detectar y responder a los incidentes de seguridad de manera oportuna y eficaz, previo análisis de las causas.

– Mejorar continuamente la seguridad de la organización.

Así como un conjunto de controles adicionales identificados a través de la evaluación de amenazas y riesgos en revisión continua. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, están claramente definidos y documentados.
Para garantizar el cumplimiento de la política, QUALITAS:

– Autoriza los sistemas antes de entrar en operación.

– Evalúa regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.

– Solicita la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

DETECCIÓN
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios monitorizan las operaciones de manera continua para detectar anomalías en los niveles de prestación de los mismos y actuar en consecuencia según lo establecido.

Están establecidos mecanismos de detección, análisis y reporte, que llegan a los responsables de los sistemas regularmente y se actúa cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

RESPUESTA
Se dispone de mecanismos para responder eficazmente a los incidentes de seguridad.

El punto de contacto para las comunicaciones con respecto a incidentes es incidencias@qualitasinstruments.com. El protocolo para el intercambio de información relacionada con el incidente, se establece por medio del proceso de gestión de NO CONFORMIDADES e INCIDENTES del SGSI. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CCCN-CERT), según el Proceso de comunicaciones.

RECUPERACIÓN
Para garantizar la disponibilidad de los servicios críticos, QUALITAS dispone de planes de continuidad de los sistemas TIC, como parte de su plan general de continuidad de Negocio y actividades de recuperación; según el Plan de CONTINUIDAD del Negocio.

Así mismo se establecen un conjunto de políticas:

– Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de forma que esté coordinada e integrada con el resto de iniciativas estratégicas para conformar un todo coherente y eficaz; integrado con el Esquema Nacional de Seguridad.

– Responsabilidad diferenciada: Los sistemas de información diferencian al responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad sobre la prestación de los servicios; y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.

– Seguridad integral: La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.

– Gestión de Riesgos: El análisis y gestión de riesgos es parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad.

– Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación es proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.

– Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información es atendida, revisada y auditada por personal cualificado, instruido y dedicado, liderado por la Dirección de QUALITAS.

– Seguridad por defecto: Los sistemas se diseñan y configuran de forma que garanticen un grado suficiente de seguridad por defecto, incluyendo los servicios en la nube.

– La estructura de la documentación del SGI se gestiona y mantienen en vigor por la Dirección en Qualitas CLOUD, a la cual tiene acceso Dirección y el personal pertinente al sistema de calidad.

Políticas específicas y responsabilidades.

Estas políticas se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios básicos de la Política de Seguridad de la Información acorde al ENS y el RD 311/2022 que regula el ENS, que inspiran las actuaciones de QUALITAS.

1.- Protección de datos de carácter personal: QUALITAS adopta las medidas técnicas y organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa vigente en relación con el tratamiento de los datos de carácter personal, cumpliendo el RGPD.

2.- Gestión de activos de información: Los activos de información de QUALITAS están inventariados y categorizados y están asociados a un responsable.

3.- Seguridad ligada a las personas: se tienen implantados los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.

4.- Seguridad física: Los activos de información están emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas están suficientemente protegidos frente a amenazas físicas o ambientales.

5.- Seguridad en la gestión de comunicaciones y operaciones: se tienen establecidos los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las Tecnologías de la Información y Comunicaciones. La información que se transmite a través de redes de comunicaciones está adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garantizan su seguridad.

6.- Control de acceso: se limitará el acceso a los activos de información por parte de usuarios, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. Además, queda registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a las actividades de QUALITAS.

7.- Adquisición y mantenimiento de los sistemas de información: se contemplan los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.

8.- Gestión de los incidentes de seguridad: se dispone de los mecanismos apropiados para la correcta identificación, registro y resolución de los incidentes de seguridad.

9.- Gestión de la continuidad: se dispone de los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de los procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus usuarios.

10.- Cumplimiento: se adoptan las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información.
Asegurando el cumplimiento de los requisitos mínimos:

  1. a) Organización e implantación del proceso de seguridad.
  2. b) Análisis y gestión de los riesgos.
  3. c) Gestión de personal.
  4. d) Profesionalidad.
  5. e) Autorización y control de los accesos.
  6. f) Protección de las instalaciones.
  7. g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
  8. h) Mínimo privilegio.
  9. i) Integridad y actualización del sistema.
  10. j) Protección de la información almacenada y en tránsito.
  11. k) Prevención ante otros sistemas de información interconectados.
  12. l) Registro de actividad y detección de código dañino.
  13. m) Incidentes de seguridad.
  14. n) Continuidad de la actividad.
  15. o) Mejora continua del proceso de seguridad.

ORGANIZACIÓN DE LA SEGURIDAD:

QUALITAS establece un conjunto de roles y funciones para la gestión de la seguridad de la información, que está establecido en su Manual de Funciones y Organigrama, compuesto por:
– El Comité de Dirección y de Seguridad de la Información que ejerce las funciones de:

  1. a) Aprobar las propuestas de modificación y actualización permanente que se hagan sobre los procesos de seguridad de la información.
  2. b) Cooperar en la definición de procesos, IT y normativa de seguridad para su aprobación por parte de Dirección.
  3. c) Velar e impulsar el cumplimiento de los PSI y su desarrollo normativo.
  4. d) Promover la mejora continua en la gestión de la seguridad de la información.
  5. e) Resolver los posibles conflictos que puedan derivarse del establecimiento de la citada estructura organizativa.

El CDSI se reunirá con carácter ordinario al menos semestralmente y con carácter extraordinario cuando lo decida la Dirección.

El CDSI podrá recabar de personal técnico, propio o externo, la información pertinente para la toma de sus decisiones.

Los principales roles y funciones de seguridad se establecen en Comité de Seguridad de la Información, compuesto por:

– Responsable de seguridad.

– Responsable de los sistemas.

– Responsable de los servicios.

– Responsable de la información.

El Comité de seguridad de la información cuenta con el apoyo del DPD y del equipo de responsables técnicos de las diversas áreas.La Dirección designa estas responsabilidades, en el Manual de Funciones y Organigrama, y los roles principales aceptan en acta dicho nombramiento y sus responsabilidades.

ESTRUCTURA DOCUMENTACIÓN SEGURIDAD:

El cuerpo normativo sobre seguridad de la información es de obligado cumplimiento y se desarrollará en niveles, según el ámbito de aplicación y el nivel de detalle técnico. Dichos niveles de desarrollo son los siguientes:

– Políticas de seguridad de la información, constituido por el presente documento y el manual de gestión de la Seguridad de la Información y el Proceso de Gestión de Seguridad de la Información.

– Procesos operativos, e instrucciones técnicas, que describen explícitamente el objeto, el proceso de las actividades para la seguridad de la información y los activos; las herramientas de gestión del SGSI en el que se soportan, indicadores y sistemas de control.

– Así como políticas y normativa de obligado cumplimiento, asociado a los diversos ámbitos de la actividad, incluido el tratamiento asociado a tipologías de incidente.

DATOS DE CARÁCTER PERSONAL:

QUALITAS trata los datos de carácter personal. Y establece en los documentos de información a empleados y subcontratas, los cuales firma, el tratamiento a la información a la que tendrán acceso autorizado y recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información de QUALITAS, se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.

GESTIÓN DE LOS RIESGOS:

QUALITAS dispone de un proceso con los criterios de categorización de riesgos, su correspondiente plan de tratamiento de riesgos y la matriz de riesgos del SGSI; que Integrar los resultados de la apreciación de los riesgos y el estado del plan de tratamiento de riesgos para la Revisión por la Dirección; Formular el Plan de Tratamiento de los riesgos del SGSI; La aprobación y aceptación del plan de tratamiento de riesgos residuales del SGSI y la aceptación por parte de los dueños de los riesgos; e Implementación del Plan de Tratamiento de los Riesgos.

OBLIGACIONES DEL PERSONAL:

Dentro de las políticas de seguridad de la información, y los procesos, QUALITAS establece para todos los miembros de la organización la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad, disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de QUALITAS atenderán las sesiones y medidas de concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros y en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas reciben formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo. Así mismo se les forma e informa para la notificación y gestión de incidentes, así como el mínimo privilegio en los accesos. Así mismo se les informa el conjunto de normativa y criterios de confidencialidad y uso adecuado de los activos a los que tienen acceso.TERCERAS PARTES:

Cuando QUALITAS preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecen canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecen procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando QUALITAS utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política. Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.MEJORA CONTINUA:

Uno de los principios fundamentales de la organización es mejorar continuamente la eficacia del sistema integrado de gestión según el Esquema Nacional de Seguridad, la toma de medidas para la mejora continua de las medidas de seguridad, facilitando la participación en las decisiones que les afecta, así como el derecho a ser consultados, la mejora continua de las medidas para garantizar la seguridad de la información en base al SGSI y el ENS.

Para ello se considera entro otros:

– Analizar y maximizar la satisfacción de los clientes y usuarios con nuestras soluciones y servicios.
– Nuestra continua orientación hacia la excelencia está fundamentada en una temprana identificación y erradicación de las fuentes de los errores. La prevención y anticipación es prioritaria frente a la corrección.

– Lograr la motivación de nuestros recursos humanos, su capacitación, cualificación y experiencia, a través de las actividades apropiadas de selección, formación y adiestramiento.
– Establecer y mantener los cauces de comunicación e información permanente con nuestros clientes, empleados, proveedores y sociedad en general.

Para conseguir cumplir con todo lo anterior descrito, QUALITAS empleará todos los medios que estime necesarios para la consecución de los objetivos establecidos.

Nuestra Política de gestión es difundida de manera constante entre todos los colaboradores internos y externos, comprobando dicho proceso desde su inicio para asegurarnos de que todos ellos comprenden nuestra Política y nuestros compromisos de calidad, al tiempo que participan de ella de manera plena.

QUALITAS ARTIFICIAL INTELLIGENCE & SCIENCE

X-twitter Linkedin-in Youtube

Quality Certifications

Address

Copyright © 2024. Qualitas Artificial Intelligence & Science . All rights reserved.

Security Policy
Legal Warning
Privacy Policy
Cookies Policy
Customize Cookies
Welcome to QAISC! We use cookies to enhance your experience and keep our computers happy. Accept our cookies and let us do the heavy lifting while you enjoy a smooth browsing experience. 🍪🚀    More information
Privacidad
Ir al contenido