Política de seguridad

Política de seguridad
ÍNDICE
I. POLÍTICA DEL SISTEMA DE GESTIÓN DE LOS SERVICIOS 3
II. POLÍTICA DE SEGURIDAD 3
III. ALCANCE 4
IV. MISIÓN 4
V. MARCO NORMATIVO 5
VI. PRINCIPIOS DE SEGURIDAD 6
VII. ESTRUCTURA ORGANIZATIVA DE SEGURIDAD: FUNCIONES Y RESPONSABILIDADES 7
VIII. DATOS DE CARÁCTER PERSONAL 10
IX. RESOLUCIÓN DE CONFLICTOS 10
X. GESTIÓN DE RIESGOS 10
XI. GESTIÓN DE INCIDENTES DE SEGURIDAD Y CONTINUIDAD 11
XII. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 11
XIII. OBLIGACIONES DEL PERSONAL 11
XIV. FORMACIÓN Y CONCIENCIACIÓN 12
XV. TERCERAS PARTES 12
XVI. CLASIFICACIÓN DE LA INFORMACIÓN 13
A.- Niveles de Calificación 13
B.- Procedimiento para la clasificación de la información 13
C.- Protección de la información 14

POLÍTICA DEL SISTEMA DE GESTIÓN
Procesa Sistemas de Gestión e Información S.L. (en adelante PROCESA) se especializa en la prestación de servicios de desarrollo y mantenimiento de aplicaciones de gestión deportiva cuyo objetivo es facilitar los procesos y los procedimientos de gestión de sus clientes. Todo ello aplicado también al sector público, cuyo control económico-presupuestario es más riguroso, reforzando la función interventora de la Administración Pública, de acuerdo con la legislación aplicable.

PROCESA ha definido unos principios para la correcta gestión de los servicios que permitan desarrollar una cultura de empresa, una forma de trabajar y de tomar decisiones en PROCESA:

Nuestra especialización y continua puesta al día.
Lograr que la calidad de los servicios sean una constante en PROCESA.
Estableciendo unos tiempos mínimos de respuesta y automatizando procesos.
Asegurando la disponibilidad del servicio.

Así, PROCESA se compromete a desarrollar, implantar, mantener y mejorar continuamente su Sistema de Gestión de Seguridad de la Información con el objetivo de la mejora continua en la atención de la gestión de los servicios y el aseguramiento de que no se produzcan caídas en los mismos, para de este modo cumplir con los objetivos de eficacia y eficiencia, y mantener la excelencia en la prestación de servicios. Por ello, es política de PROCESA que:

Se trabaje en el desarrollo y mejora de la automatización de procesos del servicio.
Se vele por el cumplimento de los requisitos del servicio para una completa información y prestación del servicio al cliente.
Se alcance el compromiso de mejora continua, estableciendo anualmente objetivos con relación al aumento de la satisfacción de los clientes, reducción del número de incidentes y mejora en los tiempos de respuesta.
Se cumpla con los requisitos del negocio, legales o reglamentarios y las obligaciones contractuales.
Se realicen actividades de formación y concienciación en materia de gestión de procesos e incidencias para todo el personal.
Se establezcan las medidas necesarias para garantizar la disponibilidad del servicio comprometida en los acuerdos de nivel de Servicio así como la continuidad del negocio de PROCESA

POLÍTICA DE SEGURIDAD
El objetivo de la Política de Seguridad es fijar el marco de actuación necesario para proteger los recursos de información frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad y disponibilidad de la información.

En PROCESA se implantarán todas las medidas necesarias para cumplir la normativa aplicable en materia de seguridad en general y de seguridad informática, relativa a la política informática, a la seguridad del sistema, al comportamiento de empleados y los servicios subcontratados en el uso de sistemas informáticos. Las medidas necesarias para garantizar la seguridad de la información mediante la aplicación de normas, procedimientos y controles deberán permitir asegurar la confidencialidad, integridad, disponibilidad de la información, esenciales para:

Cumplir con la legislación vigente en materia de los sistemas de información.
Asegurar la confidencialidad de los datos gestionados por PROCESA.
Asegurar la disponibilidad de los sistemas de información, tanto en los servicios ofrecidos a los clientes como en la gestión interna.
Asegurar la capacidad de respuesta ante situaciones de emergencia, restableciendo el funcionamiento de los servicios críticos en el menor tiempo posible.
Evitar alteraciones indebidas en la información.
Promover la concienciación y formación en seguridad de la información.
Mejorar continuamente nuestro sistema de gestión.

La seguridad de la información se basará en los siguientes ejes:
Prevención, evitando, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad.

Detección. Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple ralentización hasta su detención, se deberán monitorizar de manera continua para detectar anomalías en los niveles de prestación de los mismos y actuar en consecuencia. Se establecerán mecanismos de detección, análisis y reporte cuando se produzca alguna desviación significativa de los parámetros que se hayan preestablecido como normales.
Respuesta. Se establecerán procedimientos para dar respuesta a los incidentes, o eventos detectados que comprometan, o tengan potencial para ello. Será responsabilidad de todo el personal la notificación de cualquier evento que pueda suponer una amenaza y la colaboración con el equipo de gestión de incidentes de seguridad
Recuperación. Para garantizar la disponibilidad de los sistemas críticos, se desarrollarán planes de continuidad.
Para ello, deben implementar las medidas mínimas de seguridad EXIGIDAS por el ENS PARA SISTEMAS DE NIVEL MEDIO, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos que cumpla los requisitos del ENS y del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de Protección de Datos) (en adelante, RGPD).
Adicionalmente, PROCESA realizará un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

ALCANCE
El alcance es el Sistema de información que da soporte a los servicios de desarrollo, implantación, despliegue, soporte y mantenimiento de soluciones de software.
MISIÓN
PROCESA es una compañía española, con sede en La Zubia (Granada) y cobertura nacional ofreciendo una respuesta global a las necesidades de sus clientes, con productos y servicios innovadores. El propósito de esta Política de Seguridad de la Información es proteger la información de los servicios de PROCESA
Los servicios de PROCESA se vertebran sobre las siguientes áreas de actuación, entre otras:
Desarrollo, implantación y despliegue de software de Gestión Deportiva
Soporte y mantenimiento de software de Gestión Deportiva
Creación de soluciones tecnológicas que faciliten la vida de sus clientes y mejoren la eficiencia de la actividad de los mismos.
Desarrollo de software en continua innovación para responder a las necesidades cambiantes del mercado y de los clientes.
Proporcionar productos de alta calidad que sean confiables y fáciles de usar.
Trabajar en estrecha colaboración con los clientes para entender sus necesidades y ofrecer soluciones personalizadas.
Fomentar el crecimiento y la transformación digital de las empresas y las administraciones a través de la tecnología.
Contribuir al desarrollo sostenible mediante el uso de prácticas responsables en el desarrollo de software.
Promover la educación y el conocimiento en tecnología, tanto dentro de la empresa como en la comunidad de clientes.
En resumen, la misión de PROCESA es ser un socio estratégico que empodere a sus clientes a través de soluciones tecnológicas efectivas y adaptadas a sus necesidades.

MARCO NORMATIVO
A) Marco Normativo General.
El Sistema de Gestión de la Seguridad de la Información implantado en PROCESA debe dar respuesta a los requisitos establecidos al respecto en la legislación vigente aplicable a la actividad de la entidad y que tiene como referentes principales:
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 (eIDAS), relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) nº 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital.
Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual.
Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
Real Decreto 611/2023, de 11 de julio, por el que se aprueba el Reglamento del Registro de la Propiedad Intelectual.
Guías de Seguridad de las TIC CCN-STIC del Esquema Nacional de Seguridad.
Así mismo, PROCESA dará cumplimiento a los requisitos en materia de seguridad que puedan trasladarles los clientes de sus servicios.

B) Desarrollo Normativo de la Seguridad.
Tomando como referencia el marco normativo general, PROCESA ha desarrollado la estructura normativa de la seguridad en tres niveles:

Primer nivel normativo: Política de Seguridad.
La Política de Seguridad constituye el instrumento normativo al más alto nivel en la estructura normativa de la seguridad de PROCESA.

Segundo nivel normativo: Normativa de Seguridad.
La Normativa de Seguridad es el instrumento de nivel medio que abarca un área determinada de la Seguridad TIC. El órgano responsable de su preparación y aprobación es el Comité de Seguridad TIC de PROCESA.

Tercer nivel normativo: Procedimientos de Seguridad.
Los Procedimientos de Seguridad son instrumentos de nivel inferior, redactados con un mayor nivel de detalle, aplicables a un ámbito específico. El órgano responsable de su aprobación es el Comité de Seguridad TIC de PROCESA.

PRINCIPIOS DE SEGURIDAD
Los Principios básicos que han de tenerse en cuenta en todas las decisiones que se tomen en materia de seguridad son los establecidos en el artículo 5 del Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad.

Para el cumplimiento de los principios básicos, recogidos en el artículo 12 del ENS, se concretan una serie de principios particulares que inspiran las actuaciones de PROCESA y son los siguientes:
Organización e implantación del proceso de seguridad: Este Principio recoge la estructura organizativa establecida en esta Política de Seguridad.
Análisis y gestión de riesgos: las medidas adoptadas mitigarán o suprimirán los riesgos, siendo justificadas y proporcionadas.
Gestión personal y profesionalidad: Todo el personal de PROCESA relacionado con la información y los sistemas, deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos.
Autorización y control de acceso: El acceso a los sistemas de información y a los activos de PROCESA deberá ser controlado y limitado al personal, a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas.
Adquisición de productos de seguridad y contratación de servicios de seguridad: PROCESA adquirirá productos de seguridad de las tecnologías de la información y comunicaciones que se vayan a utilizar de forma proporcionada a la categoría de los sistemas y su nivel de seguridad.
Mínimo privilegio: Los sistemas y activos deben diseñarse y configurarse de forma que garanticen la seguridad por defecto, en función de su categorización.
Integridad y actualización de los sistemas: PROCESA deberá conocer el estado de seguridad de los sistemas: especificaciones, vulnerabilidades y actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.
Protección de la información almacenada o de tránsito: PROCESA dispondrá de procedimientos que aseguren la recuperación y conservación de los documentos electrónicos y la información en soporte no electrónico, deberá estar protegida con el mismo grado de seguridad que ésta, de conformidad con las normas de aplicación a la seguridad de los mismos.
Prevención ante otros sistemas de información interconectados
Registro de actividad y detección de código dañino
Incidentes de seguridad: PROCESA dispondrá de procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de información, o los activos. Estos procedimientos cubrirán los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se empleará para la mejora continua de la seguridad del sistema.
Continuidad de la actividad: Los sistemas de PROCESA dispondrán de medidas de respaldo y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.
Mejora continua: El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, PROCESA aplicará los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.
ESTRUCTURA ORGANIZATIVA DE SEGURIDAD: FUNCIONES Y RESPONSABILIDADES
De acuerdo con lo que establece el artículo 11 del Real Decreto 311/2022, la gestión de la seguridad exige establecer una Organización de la misma, de manera que PROCESA tiene nombrados los siguientes responsables cuyas funciones y responsabilidades pasamos a describir a continuación:
El Comité de Seguridad asumirá la responsabilidad de liderazgo sobre el Sistema de Gestión de la Seguridad de la Información de PROCESA El Comité estará constituido por los componentes mínimos necesarios para tomar decisiones en el ámbito de la seguridad TIC:
Responsable de Seguridad.
Responsable de Sistemas.
Responsable de los Servicios y de Información.
En función de las necesidades se podrá solicitar la participación de personal técnico especializado, propio o externo, cuando se requiera asesoramiento experto para la toma de decisiones. En cualquier caso, dichos participantes, tendrán voz pero no derecho a voto en las decisiones del Comité.
El Comité de Seguridad se reunirá con carácter ordinario al menos una vez al año para realizar una Revisión del Sistema de Gestión a fin de asegurar su conveniencia, adecuación y eficacia continuada.
Adicionalmente, podrán convocarse otras reuniones extraordinarias siempre que se estime oportuno o se registren eventos que condicionen la seguridad de los sistemas de información de la entidad y se requiera la toma de decisiones a alto nivel.
De las reuniones del Comité de Seguridad deberá levantarse acta que recoja el detalle de los asuntos tratados, así como de los acuerdos y decisiones adoptadas.
Las funciones principales de dicho comité serán las siguientes:
Aprobación de los documentos del Sistema de Gestión de la Seguridad de la Información (SGSI).
Promover el conocimiento y cumplimiento de la política de seguridad de la información, así como de la normativa de la entidad.
Impulsar el análisis de los riesgos de los sistemas de información, supervisar los niveles de riesgos resultantes.
Establecer el nivel de riesgo aceptable por encima del cual deberían adoptarse medidas enfocadas a la reducción del riesgo de las amenazas identificadas.
Aceptar los riesgos residuales resultantes tras la aplicación de las medidas de seguridad definidas.
Velar por la disponibilidad de los recursos necesarios para la implementación de las medidas de seguridad definidas.
Definir, aprobar y realizar el seguimiento de los objetivos, planes de tratamiento de riesgos y otros planes de mejora en materia de seguridad de la información.
Promover la implantación y mejora continua del sistema de gestión de la seguridad de la información.
Coordinación de respuesta a incidentes de seguridad de la información críticos, siendo responsable de la toma de decisiones urgentes.
Realizar la Revisión anual del Sistema.
A) Responsable de Seguridad. Dicha función recaerá sobre el Responsable del Sistema de Gestión, quien asumirá las siguientes responsabilidades en materia de seguridad de la información:
Supervisar el cumplimiento de la presente Política, así como de las normativas y procedimientos que puedan derivarse de ella.
Realización y actualización de los análisis de riesgos de los sistemas de información utilizados por PROCESA para la prestación de los servicios.
Aprobar la Declaración de Aplicabilidad, estableciendo medidas de seguridad adecuadas y eficaces que den respuesta.
Creación, mantenimiento y actualización continúa de la documentación del Sistema de Gestión de la Seguridad.
Coordinación de actividades relacionadas con la seguridad de la información.
Suspender el uso de la información o de los sistemas en caso de detectarse deficiencias graves que pudieran afectar a su seguridad de la Información.
Analizar el resultado de las auditorías que se realice y participar en el tratamiento de las desviaciones detectadas.
B) Responsable de Sistemas, función que recaerá sobre el Responsable de Informática de la organización, quien con independencia de otras responsabilidades, asumirá las siguientes en materia de seguridad:
Categorizar los sistemas de información en base a los resultados de las valoraciones realizadas por los Responsables de la Información y Servicios.
Labores de soporte y asesoramiento técnico al Comité de Seguridad.
Supervisar el desarrollo, operación y mantenimiento de los sistemas de información durante todo su ciclo de vida.
Proporcionar la información necesaria al Responsable de Seguridad para realizar los preceptivos análisis de riesgos.
Velar por la seguridad de los sistemas de información, participando en la definición, implantación y mantenimiento de las medidas de seguridad de carácter técnico.
Participar en la investigación y tratamiento de incidentes de seguridad.
Analizar el resultado de las auditorías que se realice y participar en el tratamiento de las desviaciones detectadas.
C) Responsables de los Servicios e Información, quienes deberán determinar la finalidad, contenido y uso de la información, así como las características de los servicios a prestar. Estas funciones que recaerán directamente sobre la Dirección General, quien podrá delegarla, cuando lo estime oportuno, total o parcialmente sobre uno o varios responsables de área de PROCESA y quien, asumirá las funciones que se detallan a continuación.
Valorar los sistemas de información en base al impacto que tendría sobre ellos la materialización de un incidente de seguridad.
Determinar los requisitos de seguridad de los sistemas de información.
Proporcionar la información necesaria al Responsable de Seguridad para realizar los preceptivos análisis de riesgos.
Apoyo en la definición, implantación y mantenimiento de las medidas de seguridad a aplicar sobre la información manejada.
Velar por la aplicación de las medidas de seguridad definidas.
Determinar el nivel de calificación que debe aplicarse a la información y promover el correcto etiquetado de sus posibles soportes.
Responsable del Servicio. Dirección General (pudiendo delegar)
Otro personal de la entidad.
La preservación de la seguridad de la información será considerada objetivo común de todos los trabajadores de PROCESA quienes tienen la obligación de conocer y cumplir la presente política de seguridad.
El incumplimiento manifiesto de la Política de Seguridad de la Información o la normativa y procedimientos derivados de ésta podrá acarrear el inicio de las oportunas medidas disciplinarias y, en su caso, las responsabilidades legales correspondientes.

PROCEDIMIENTOS DE DESIGNACIÓN
El Responsable de Seguridad será nombrado por la Dirección a propuesta del Comité de Seguridad de la Información. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.

El resto de puestos serán nombrados siguiendo los cauces habituales de la organización.

Es función de Comité de Gestión de Seguridad de la Información de la entidad designar:
El Responsable de la Seguridad, debe reportar directamente al Responsable de la Información y al Comité de Gestión de Seguridad de la Información.
El Responsable del Sistema, en materia de seguridad, reportará al Responsable de la Seguridad. El Departamento responsable de un servicio que se preste electrónicamente designará al Responsable del Sistema, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Será misión del Comité de Gestión de Seguridad de la información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por el mismo comité y difundida para que la conozcan todas las partes afectadas.

DATOS DE CARÁCTER PERSONAL
PROCESA trata datos de carácter personal. El documento de Políticas de Privacidad del Tratamiento de los Datos, al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información de PROCESA se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado documento de seguridad.
Las responsabilidades de PROCESA en materia de Protección de Datos son las siguientes:
Responsable del Tratamiento. Las funciones del Responsable del Tratamiento son asumidas por la persona titular de la Dirección de PROCESA.
Encargado/a del Tratamiento. Se trata de los organismos o entidades que traten datos de carácter personal por cuenta de PROCESA.

RESOLUCIÓN DE CONFLICTOS
En caso de conflicto entre los diferentes responsables, éste será resuelto por el órgano superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Comité de Seguridad TIC.
En los conflictos entre las personas responsables que componen la estructura organizativa de la Política de Seguridad y las personas responsables definidas en virtud de la normativa de protección de datos de carácter personal, prevalecerá la decisión que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.

GESTIÓN DE RIESGOS
La gestión de riesgos debe realizarse de manera continua sobre el sistema de información y los activos, conforme a los principios de gestión de la seguridad basada en los riesgos y reevaluación periódica.
Las personas Responsables de la Información, de los servicios y de los tratamientos de Datos de Carácter Personal, en su caso, son responsables de los riesgos sobre los mismos y, por tanto, de aceptar los riesgos residuales calculados en el análisis de riesgos, así como de realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
El Comité de Seguridad TIC es responsable de realizar un seguimiento de los principales riesgos residuales asumidos por la organización y de recomendar posibles actuaciones respecto de ellos.
La selección de las medidas de seguridad a aplicar será propuesta por la persona designada como Responsable de Seguridad TIC, así como el seguimiento de su aplicación. Dichas medidas, en el ámbito de la Seguridad TIC serán las mínimas determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos que cumpla los requisitos del ENS.
El proceso de gestión de riesgos comprende las fases de identificación y valoración de informaciones y servicios esenciales prestados, categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, las cuales deberán ser proporcionales a los riesgos y estar justificadas. Este análisis deberá revisarse cada año por parte de la persona designada como Responsable de Seguridad TIC, que elevará el correspondiente informe al Comité de Seguridad TIC.

GESTIÓN DE INCIDENTES DE SEGURIDAD Y CONTINUIDAD
PROCESA debe estar preparado para prevenir, detectar, reaccionar y recuperarse de incidentes, según los términos previstos en el artículo 8 del ENS, y de lo dispuesto en su caso, por la normativa vigente en cada momento.
El Comité de Seguridad TIC deberá aprobar y revisar periódicamente un plan para mantener la continuidad de los procesos, activos y sistemas críticos y garantizar su recuperación en caso de desastre. La finalidad de este plan es reducir el tiempo de indisponibilidad a niveles aceptables mediante la combinación de controles de carácter organizativo, tecnológico y procedimental, tanto preventivos como de recuperación.
DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Será misión del Comité de Gestión de Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la Dirección y difundida para que la conozcan todas las partes afectadas.

Esta Política de Seguridad de la Información complementa las políticas de seguridad de PROCESA en diferentes materias, como:
Aviso Legal y Políticas de privacidad (Política de privacidad y protección de datos.)
Política de Seguridad de la Información de PROCESA
Política de copias de seguridad
Política de clasificación de la información

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La política de seguridad estará disponible en la página web de PROCESA, para que sea del conocimiento de todos los trabajadores del departamento de Seguridad Y TIC de PROCESA. La normativa de seguridad se encontrará igualmente a disposición interna de quien deba conocerla.
OBLIGACIONES DEL PERSONAL
Todos los miembros de PROCESA tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo el Comité de Gestión de Seguridad de la Información el responsable de disponer de los medios necesarios para que la información llegue a los afectados.

Todos los miembros de PROCESA atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros del departamento de Seguridad de PROCESA, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

FORMACIÓN Y CONCIENCIACIÓN
PROCESA desarrollará con carácter anual un Plan de Formación y Concienciación en materia de Seguridad TIC, con el objetivo de interiorizar una cultura de la seguridad alineada con la presente Política de Seguridad.
El Plan de Concienciación irá destinado al personal en general de PROCESA, y será desarrollado con el objetivo de dar a conocer esta Política y su desarrollo normativo.

TERCERAS PARTES
Cuando PROCESA preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación del respectivo Comité de Gestión de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando PROCESA utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
En aquellos casos en los que proceda deberá identificar los posibles riesgos a los que puedan estar expuestos dicha información o sistemas durante la prestación del servicio. Para ello, entre otras cuestiones, deberán tenerse en cuenta aspectos como:
La criticidad de la información afectada.
El modo en que deberá acceder a la información o los sistemas de información.
Los medios a utilizar y el tratamiento que realizará el tercero de dicha información.
Requisitos legales (p.e.RGPD) y requisitos de seguridad de la propia organización que resulten de aplicación.
Posibles repercusiones sobre los intereses de otras partes implicadas
Como resultado deberá determinar:
Las medidas de control que deberá aplicar el tercero durante la prestación del servicio a fin de asegurar un tratamiento adecuado de la información.
El modo, y bajo qué condiciones, el tercero podrá subcontratar el servicio a una cuarta parte.
Medidas de seguridad adicionales que se deban aplicar internamente durante la prestación del servicio.
Mecanismos de control que deberán aplicarse sobre el tercero para asegurar el cumplimiento de los términos de los acuerdos que se suscriban.
CLASIFICACIÓN DE LA INFORMACIÓN
Será responsabilidad del Responsable de Seguridad:
Distribuir la calificación de la información entre el personal y asegurarse de que se mantiene actualizada y disponible.
Velar por el cumplimiento de lo previsto en el presente procedimiento.
A.- Niveles de Calificación
PROCESA establece un sistema de clasificación de seguridad de la información que genera y gestiona, en función de su ámbito de difusión previsto y de las consecuencias que pudiera tener para la entidad y para otras partes interesadas un eventual acceso no autorizado a la misma. El sistema se estructura en los siguientes niveles de menor a mayor criticidad:
Información Pública
Toda aquella información que, individual o conjuntamente con información de terceros, está destinada a su divulgación pública, sin perjuicio de que antes de la divulgación le corresponda otro nivel de clasificación.
Uso Interno
Aquella información cuya vocación sea estar a disposición de toda la organización a través de los cauces habituales de comunicación disponibles, tales como sistemas de gestión documental o sistemas de compartición de ficheros y cualesquiera otros medios de difusión interna existentes. La información no es, en principio, accesible a terceras partes ajenas a PROCESA, salvo que necesiten acceder a ella para la realización de las funciones que tienen encomendadas. La difusión de esta información fuera del ámbito de PROCESA conlleva un impacto leve.
Información Confidencial
Aquella información, propia o de terceros, destinada a ser utilizada en un ámbito concreto o proyecto de PROCESA y cuya revelación no autorizada podría causar un impacto importante en la actividad de la organización o en la de un tercero.

B.- Procedimiento para la clasificación de la información
Para la elaboración del documento de clasificación de la información, el Responsable de Seguridad solicita a cada Departamento la elaboración de un inventario de los tipos de información gestionada en su ámbito de actuación, así como:
El periodo de retención de la información, que es determinado en base a:
Requisitos establecidos en la legislación aplicable al servicio / información.
Requisitos establecidos por organismos reguladores del servicio.
La necesidad de aportar la información como evidencia en un litigio o reclamación.
Las necesidades internas de gestión de PROCESA.
La limitación de la custodia al periodo de tiempo estrictamente necesario reduciendo el riesgo que supone almacenar información que no es necesario mantener.

En determinadas ocasiones, PROCESA gestiona activos de información de terceros que podrán haber sido etiquetados conforme a sus propias normas de clasificación. Dado que estas normas no tienen porqué ser coincidentes con las aplicables en PROCESA, los responsables de estos activos de información habrán de aplicar el nivel de clasificación de PROCESA equivalente al original.
C.- Protección de la información
Con independencia de lo establecido en los procedimientos de seguridad de PROCESA se indican a continuación los criterios básicos a seguir para el tratamiento de la información según su nivel de clasificación:
Información PÚBLICA:
No existe ninguna restricción para el acceso a la información.
El responsable de la información establece y ordena que se establezcan medidas para controlar su modificación o borrado.
La distribución o puesta a disposición pública sólo se produce una vez comprobado por su responsable que los documentos no incorporan información de nivel de clasificación superior.
Información de USO INTERNO:
El acceso a la información queda restringido a todas las personas en plantilla de PROCESA o a aquellos terceros que la requieran para el desempeño de las funciones encomendadas.
En caso de que lo considere oportuno, el responsable de información de USO INTERNO puede establecer u ordenar que se establezcan limitaciones para controlar su reproducción, física o lógica, o su modificación.
La información sólo puede ser procesada, almacenada o reproducida en las áreas propias o gestionadas por PROCESA, salvo acuerdos explícitos con terceros.
Información CONFIDENCIAL:
El acceso a la información queda restringido al personal de PROCESA, colaboradores habituales u otros terceros que desempeñen sus funciones en el proyecto o área de actividad concreta a que pertenece la información. En cualquier caso, la autorización de acceso es concedida previamente por el responsable de la información.
El acceso a la información por parte de personas de plantilla de PROCESA y colaboradores habituales requiere la firma de un compromiso de confidencialidad. En el caso de acceso autorizado a terceros, es también precisa la existencia previa de los correspondientes acuerdos de confidencialidad.
El almacenamiento, proceso o reproducción de información queda limitado a las áreas en las que se desarrollan las actividades a las que pertenece la información. Se evita en especial, el almacenamiento o reproducción de la información en áreas o dispositivos destinados al acceso público.
Se adoptan en todo momento las medidas necesarias para evitar el acceso no autorizado a la información, bien sea fortuita o deliberadamente, durante su utilización y reproducción.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 meses	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro".
cookielawinfo-checkbox-performance	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.