Objetivos o misión de la organización

Objetivos

 

  • Establecer un marco que fortalezca la capacidad de respuesta y resiliencia ante cualquier situación adversa.
  • Garantizar la recuperación rápida y eficaz de los servicios frente a desastres físicos o contingencias que puedan comprometer la continuidad operativa.
  • Minimizar la ocurrencia de incidentes relacionados con la seguridad de la información, priorizando aquellas acciones que sean técnica y económicamente factibles, y mitigar los riesgos asociados a las actividades realizadas.
  • Asegurar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información en todo momento.

Misión

MultiTrain se compromete firmemente con la gestión de la seguridad de la información, asegurando las máximas garantías a sus grupos de interés. Este compromiso incluye la implementación de medidas preventivas y correctivas para proteger los sistemas frente a posibles daños, ya sean accidentales o deliberados, que puedan afectar la disponibilidad, integridad o confidencialidad de los datos o servicios gestionados.

La seguridad de la información tiene como objetivo preservar la calidad de los datos y garantizar la continuidad de los servicios mediante acciones preventivas, supervisión constante de las operaciones y respuestas rápidas ante incidentes.

Los sistemas TIC deben estar protegidos frente a amenazas emergentes que puedan poner en riesgo la información y los servicios. Esto requiere una estrategia flexible y adaptable a los cambios del entorno, asegurando la prestación continua de los servicios mediante:

  • Implementación de las medidas mínimas de seguridad establecidas en el Esquema Nacional de Seguridad (ENS).
  • Seguimiento constante de la prestación de servicios, análisis de vulnerabilidades reportadas y preparación para responder eficazmente a incidentes.

La integración de la seguridad TIC debe considerarse en todas las etapas del ciclo de vida de los sistemas, desde su diseño hasta su retirada. Esto incluye el desarrollo, adquisición y explotación, así como la planificación y dotación de recursos en las fases iniciales de los proyectos.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse ante incidentes, siguiendo lo dispuesto en el Artículo 8 del ENS, que establece la necesidad de prevenir, detectar, responder y conservar evidencias relacionadas con los incidentes.

 

Marco legal y regulatorio en el que se desarrollarán las actividades

Uno de los objetivos debe ser el de cumplir con requisitos legales aplicables y con cualesquiera otros requisitos que suscribimos además de los compromisos adquiridos con los clientes, así como la actualización continua de los mismos. Para ello, el marco legal y regulatorio en el que desarrollamos nuestras actividades es:

  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, vigente con correcciones menores publicadas en 2018 y 2021.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, plenamente vigente.
  • Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual, actualizado por la Ley 2/2019.
  • Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual y se incorporan al ordenamiento jurídico español las Directivas 2014/26/UE y 2017/1564.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, plenamente vigente.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), vigente, aunque sujeta a posibles cambios futuros en el marco digital europeo.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, vigente.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, vigente.
  • Resoluciones de 2016 y 2018 de la Secretaría de Estado de Administraciones Públicas relacionadas con el Esquema Nacional de Seguridad, complementarias al marco actualizado por el Real Decreto 311/2022.
  • Ley de secretos empresariales 1/2019, vigente como referencia principal sobre secretos empresariales en España.
  • Real Decreto 513/2017, de 22 de mayo, por el que se aprueba el Reglamento de instalaciones de protección contra incendios, vigente.
  • Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, vigente.
  • Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, base normativa vigente complementada con reglamentos específicos.
  • REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), vigente pero con una versión actualizada (eIDAS 2.0) en desarrollo.

 

 

Roles y funciones de seguridad

La Dirección General asume la responsabilidad fundamental de asignar roles, definir responsabilidades y garantizar los recursos necesarios para cumplir los objetivos del ENS. Además, los directivos deben liderar con el ejemplo, respetando y promoviendo las normas de seguridad establecidas.

Este compromiso queda reflejado en la Política Integrada de Sistemas de Gestión, que la Dirección pone a disposición de todos los empleados y partes interesadas, acompañándola de los recursos necesarios para su cumplimiento.

Los roles y funciones de seguridad están claramente definidos y alineados con los objetivos organizativos y los principios del ENS.

Los roles o funciones de seguridad definidos son:

Función Deberes y responsabilidades
Responsable de la información (RINFO) · Tomar las decisiones relativas a la información tratada
Responsable de los servicios (RSER) · Coordinar la implantación del sistema

· Mejorar el sistema de forma continua
Responsable de la seguridad (RSEG o CISO) · Determinar la idoneidad de las medidas técnicas

· Proporcionar la mejor tecnología para el servicio
Responsable del sistema (RSIS) · Coordinar la implantación del sistema

· Mejorar el sistema de forma continua
Dirección · Proporcionar los recursos necesarios para el sistema

· Liderar el sistema
Administrador de Seguridad (AS) · Implantación, gestión y mantenimiento de las medidas de seguridad.

 

Esta definición de deberes y responsabilidades se completa en los perfiles de puesto y en los documentos del sistema Registro de responsables, roles y responsabilidades. Las funciones de cada uno de los puestos se definen en el documento de acta de comité.

 

Estructura del comité para la gestión y coordinación de la seguridad

 

El comité para la gestión y coordinación de la seguridad es el órgano con mayor responsabilidad dentro del sistema de gestión de seguridad de la información, de forma que todas las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité.

Los miembros del comité de seguridad de la información son:

 

Función Nombre
RESPONSABLE DE SEGURIDAD Antonio Fuentes-Robles del Pino
RESPONSABLE DEL SISTEMA Jorge Girona Martí
RESPONSABLE DEL SERVICIO Ignacio Parladé Osborne
RESPONSABLE DE INFORMACIÓN Ignacio Parladé Osborne

 

Estos miembros son designados por el comité, único órgano que puede nombrarlos, renovarlos y cesarlos.

El comité de seguridad es un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones y que no tiene que subordinar su actividad a ningún otro elemento de nuestra empresa.

La organización de la Seguridad de la información se desarrolla en el documento complementario a esta Política de Organización de la Seguridad

Está política se complementa con el resto de las políticas, procedimientos y documentos en vigor para desarrollar nuestro sistema de gestión.

 

Directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso

 

Integridad y actualización del sistema

MultiTrain asume el compromiso de mantener la integridad de sus sistemas a través de un proceso riguroso de gestión de cambios. Este proceso asegura que cualquier modificación en los elementos físicos o lógicos sea previamente evaluada y autorizada antes de su implementación. La Dirección de Sistemas será la principal encargada de realizar estas evaluaciones, analizando el impacto que los cambios puedan tener en la seguridad del sistema. Además, llevará un registro detallado de aquellos cambios considerados relevantes o con posibles implicaciones en la seguridad.

Se realizarán revisiones periódicas de seguridad para analizar el estado de los sistemas, tomando en cuenta las especificaciones de los fabricantes, vulnerabilidades identificadas y actualizaciones necesarias. Estas revisiones permitirán actuar con rapidez y eficacia para gestionar los riesgos y garantizar la seguridad continua de los sistemas.

Gestión

Estructurar nuestro sistema de gestión de manera que sea comprensible, accesible y adaptable a futuras modificaciones. Nuestro sistema de gestión tiene la siguiente estructura:

La gestión de nuestro sistema se encomienda al Responsable de Sistemas Informáticos. Toda la documentación estará disponible en el sistema de información de la empresa, dentro de un repositorio seguro y organizado, con acceso controlado según los perfiles definidos en nuestro procedimiento vigente de gestión de accesos.

La documentación de seguridad del sistema se organiza en carpetas y subcarpetas dentro del gestor documental corporativo. Estas subcarpetas están estructuradas siguiendo la guía navegable del CCN para el ENS nivel alto. Cada documento está asociado a una medida de seguridad específica y agrupado en la carpeta correspondiente según los puntos de la norma, lo que facilita la búsqueda, consulta y modificación.

El acceso a la documentación está restringido al personal autorizado de la compañía. Ningún personal externo no autorizado podrá acceder al repositorio.

La documentación de seguridad se estructura en:

  • Política de Seguridad: directrices generales que definen los principios y compromisos de la empresa en materia de seguridad.
  • Normativa de seguridad: documentos que detallan el uso adecuado de equipos, servicios e instalaciones. Incluyen definiciones sobre usos indebidos, responsabilidades del personal respecto al cumplimiento de la normativa, derechos, deberes y medidas disciplinarias de acuerdo con la legislación vigente.
  • Documentos específicos: documentación de seguridad desarrollada según las guías CCN-STIC que resulten de aplicación.
  • Procedimientos de seguridad: instrucciones detalladas sobre cómo operar los elementos del sistema para garantizar su seguridad.

 

Esta política se complementa con el resto de las políticas, procedimientos y documentos en vigor para desarrollar nuestro sistema de gestión.

Gestión de Riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisa regularmente:

  • al menos una vez al año;
  • cuando cambie la información manejada;
  • cuando cambien los servicios prestados;
  • cuando ocurra un incidente grave de seguridad;
  • cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Para la realización del análisis de riesgos se tendrá en cuenta la metodología de análisis de riesgos desarrollada en el procedimiento Análisis de Riesgos.

Gestión de Personal

Todos los integrantes de MultiTrain tienen la obligación de conocer y cumplir tanto la Política de Seguridad de la Información como la Normativa de Seguridad. El Comité de Seguridad TIC será el responsable de garantizar que esta información llegue a todos los implicados.

Cada miembro de MultiTrain participará en al menos una sesión anual de concienciación en seguridad TIC. Asimismo, se implementará un programa continuo de sensibilización, especialmente enfocado en los nuevos empleados.

Las personas con responsabilidades relacionadas con el uso, operación o administración de sistemas TIC recibirán formación específica para garantizar un manejo seguro. Esta formación será obligatoria antes de asumir cualquier función, ya sea por una nueva asignación, un cambio de puesto o un ajuste en las responsabilidades dentro del mismo puesto.

 

Autorización y control de acceso a los Sistemas de Información

El control del acceso a los sistemas de información tiene por objetivo:

  • Evitar el acceso no autorizado a sistemas de información, bases de datos y servicios de información.
  • Implementar la seguridad en el acceso de los usuarios a través de técnicas de autenticación y autorización.
  • Controlar la seguridad en la conexión entre la red de MultiTrain y otras redes públicas o privadas.
  • Revisar los eventos críticos y las actividades llevadas a cabo por los usuarios en los sistemas.
  • Concienciar sobre su responsabilidad por el uso de contraseñas y equipos.
  • Garantizar la seguridad de la información cuando se utilizan ordenadores portátiles y ordenadores personales para el trabajo remoto.