Aprobación y entrada en vigor

HOPU siempre ha presentado una preocupación y cuidado por la estandarización, el mantenimiento y control remoto y la seguridad en sus arquitecturas y proyectos. Esta preocupación se ha plasmado inicialmente en la política de Privacidad que ha estado vigente en la organización desde el 25 de mayo de 2018, con una actualización en 16 de julio de 2018, y que continúa vigente en estos términos. Con la implementación de la norma ISO 27001 de Seguridad de la Información y del Esquema Nacional de Seguridad ENS se complementa dicho documento cubriendo la totalidad de aspectos de seguridad y privacidad aplicables a la organización. Esta política no sólo recoge los aspectos de privacidad de la organización, sino que amplía dichos verticales según marca las cuestiones mínimas del mismo el ENS. Este documento ha sido aprobado y con ello, entra en vigor, el día 18 de Agosto de 2021. Esta Política de Seguridad de la Información Anexo 4 Rev.00 es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

Introducción

HOP Ubiquitous S.L., en adelante, HOPU, trabaja con los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando de forma rápida y eficiente frente a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación y en la solicitud de ofertas.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS.

Prevención

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.

Respuesta

Los departamentos deben:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
Recuperación

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

Alcance

Esta política se aplica a la plataforma de visualización Grafana, involucrando a los miembros del Dto. de Software involucrados en el despliegue de dicho servicio de visualización para nuestros clientes. El resto de plataforma sobre el que se construye la visualización queda fuera del alcance de esta política del ENS, ya que no es un software propietario, sino una licencia de uso.

Misión, visión y modelo de calidad

HOPU es líder en innovación en soluciones de Internet de las cosas (IoT) y ciudades inteligentes. La empresa está certificada en la ISO9001 de Gestión de la Calidad, gracias a la cual tienen fijada su misión, visión y objetivos y que está disponible en la web: https://hopu.eu/quality-politics-es/

La misión de la empresa es: "Fomentar la sostenibilidad y la toma de decisiones basadas en datos/evidencias confiables"

Para ello HOPU ofrece servicios y soluciones, pensando siempre en las experiencias de los usuarios y en la ingeniería de valor. Nos apasiona la generación de innovaciones urbanas a través de las últimas tecnologías como la IA (Inteligencia Artificial), IoT (Internet of Things) y Data-Quality. Nos encanta comprometer a los ciudadanos y a los responsables de la toma de decisiones, para garantizar que los datos sean comprensibles para todos, intuitivos y utilizables. Estamos allí para apoyar cualquier decisión para el desarrollo urbano y la transformación digital a través de herramientas basadas en datos con cuadros de mando, herramientas de apoyo a la toma de decisiones y un gran número de dispositivos de IoT para monitorizar objetivamente el impacto, la riqueza, la sostenibilidad, el medio ambiente, el ruido, el tiempo, el estado de la calidad del aire, etc. Nuestra visión es que las Ciudades Inteligentes en el presente y en el futuro, donde los ciudadanos y visitantes realmente sientan que están en una Ciudad eficiente, sostenible y saludable.

La visión de la empresa es: "Un mundo con ciudades eficientes, sostenibles y saludables"

Marco normativo

HOPU se encuentra sujeto a la siguiente normativa en la provisión de los servicios prestados a sus clientes:

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (reglamento General de Protección de Datos), de aplicación al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
  • Prevención de Riesgos Laborales Ley 31/1995 de 8 de noviembre y Real Decreto 39/1997 de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención.
  • El convenio colectivo aplicable, correspondiente a “Oficinas y Despachos”.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).
  • RD-ley 13/2012 de 30 de marzo, ley de cookies.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.

    El marco de referencia que da cobertura legal a este documento se establece en las siguientes secciones del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante, ENS):

  • ENS. Artículo 12. Organización e implantación del proceso de seguridad

    La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad según se detalla en el Anexo II, sección 3.1, deberá identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.

  • ENS. Anexo II

Medidas de Seguridad Marco organizativo [org]
Política de seguridad [org.1]

Organización de la Seguridad
Comité. Definición y coordinación

El Comité de Gestión de la Seguridad de la Información estará formado por el Director General (CEO), Directores de Dto., Responsable de Seguridad, Responsable de Servicios/de la Información, Responsable del Sistema.

El Comité tendrá las siguientes funciones:

  • Coordina todas las actividades relacionadas con la seguridad de las TIC
  • Es responsable de la redacción de la Política de Seguridad
  • Es responsable de la creación y aprobación de las normas que enmarcan el uso de los servicios TIC
  • Aprobará los procedimientos de actuación en lo relativo al uso de los servicios TIC
  • Aprobará los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de las TIC.
Roles. Funciones y responsabilidades

Los diferentes roles junto con sus respectivas funciones y responsabilidades están reflejados en la matriz de roles y responsabilidades de HOPU.

RESPONSABLE DE LA INFORMACIÓN

El Responsable de la Información (information owner) es habitualmente una persona que ocupa un alto cargo en la dirección de la organización. Este cargo tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.

El Responsable de la Información es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.

El ENS asigna al ‘Responsable de la Información’ la potestad de establecer los requisitos de la información en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de la información (aunque en este caso, esta responsabilidad recaerá sobre el Responsable de la Información de los organismos públicos a los que se les presta el servicio).

La determinación de los niveles de seguridad en cada dimensión de seguridad debe realizarse dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad. Se recomienda que los criterios de valoración estén respaldados por la Política de Seguridad en la medida en que sean sistemáticos, sin perjuicio de que puedan darse criterios particulares en casos singulares.

RESPONSABLE DEL SERVICIO

El ENS asigna al ‘Responsable del Servicio’ la potestad de establecer los requisitos del servicio en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de los servicios. (aunque en este caso, la responsabilidad de definir los niveles de seguridad recaerá sobre el Responsable de la Información de los organismos públicos a los que se les presta el servicio)

La determinación de los niveles de seguridad en cada dimensión de seguridad debe realizarse dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad. Se recomienda que los criterios de valoración estén respaldados por la Política de Seguridad en la medida en que sean sistemáticos, sin perjuicio de que puedan darse criterios particulares en casos singulares.

La prestación de un servicio siempre debe atender a los requisitos de seguridad de la información que maneja (a veces se dice que ‘se heredan los requisitos’), y suele añadir requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc

RESPONSABLE DE LA SEGURIDAD

El Responsable de Seguridad debe ser designado directamente por la Dirección para gestionar y mantener el SGSI.

Entre sus responsabilidades se encuentra la de mantener el proceso de mejora continua del sistema, trabajando junto con los responsables de los procesos y de los servicios. Asimismo es responsable de verificar el cumplimiento del presente Manual de Gestión, detectar las desviaciones que se produzcan en el Sistema, recomendar y canalizar mejoras y comprobar y evaluar la puesta en marcha y eficacia de las mismas. Con respecto a las actividades de gestión, debe planificar las auditorías internas y llevar la gestión de los incidentes relativos a los servicios que gestiona.

Persona designada por la Dirección, que dispondrá de las siguientes responsabilidades:

  • Mantener y supervisar la gestión de la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Organización.
  • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

RESPONSABLE DEL SISTEMA

El Responsable del Sistema debe ser designado directamente por la Dirección para gestionar y mantener el ENS.

Cabe destacar, que el Responsable del Sistema se encargará entre sus funciones de:

  • Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.

El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el Responsable de la Seguridad, antes de ser ejecutada.

Procedimientos de designación

El Responsable de Seguridad de la Información será nombrado por la Dirección a propuesta del Comité de Gestión de la Seguridad de la Información. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.

Política de seguridad de la información

Será misión del Comité de Gestión de la Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por el mismo comité y difundida para que la conozcan todas las partes afectadas.

Datos de carácter personal

HOPU trata datos de carácter personal (nombres, cuentas de email, MACs…). El documento de seguridad, al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información de HOPU se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.

Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • regularmente, al menos una vez al año
  • cuando cambie la información manejada
  • cuando cambien los servicios prestados
  • cuando ocurra un incidente grave de seguridad
  • cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, el Comité de Gestión de la Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Gestión de la Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Gestión documental

Las directrices para la estructuración de la documentación del sistema, su gestión y acceso se encuentran documentadas en el Manual de calidad y medioambiente al que pertenece este Anexo 4, en su sección 2.4. CONTROL Y GESTIÓN DE LA INFORMACIÓN DOCUMENTADA.

La normativa de seguridad estará disponible en web https://hopu.eu/

Obligaciones del personal

Todos los miembros de HOPU tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Gestión de la Seguridad de la Información disponer de los medios necesarios para que la información llegue a los afectados.

Todos los miembros de HOPU asistirán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de HOPU, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

Terceras partes

Cuando preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando HOPU utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.