El propósito de esta Política es establecer las directrices de alto nivel para definir, desarrollar y mantener nuestro Sistema de Gestión de Seguridad de la Información (en lo sucesivo, el SGSI). Determina objetivos, principios y reglas básicas para la gestión de la seguridad de la información en la empresa UNIVERSITAS XXI Soluciones y Tecnología para la Universidad (en lo sucesivo, LA EMPRESA). Aplica a las sedes de ESPAÑA y de COLOMBIA, que utilizarán el mismo SGSI, atendiendo exclusivamente aspectos diferenciales de carácter formal, como la normativa aplicable, o bien justificados por fuerza mayor.
El ejercicio de las funciones de máximo nivel para desarrollar estos objetivos corresponde a la Dirección de Tecnología y Estandarización, por delegación de funciones del Comité de Dirección de LA EMPRESA.
El desarrollo de esta Política de Seguridad queda encuadrado de forma natural en los objetivos y misión de LA EMPRESA, que emanan de la Política de Calidad aprobada por la Dirección General.
En definitiva:
Esta política establece el compromiso de la dirección para:
Esta política se aplica a los sistemas de información que dan soporte a las actividades de servicios gestionados on-premise, servicios SaaS, y servicios de mantenimiento y soporte, desarrollo e implantación del ERP universitario UNIVERSITAS XXI.
De acuerdo con el punto anterior el alcance considera todos los productos y servicios que LA EMPRESA ofrece a sus clientes. En definitiva, incluye:
El siguiente diagrama refleja el carácter incremental de los servicios que se prestan a los clientes.
El sistema de seguridad considera, además:
Con independencia de futuras ampliaciones de este alcance, se excluye actualmente la actividad de gestión interna que realizan las siguientes áreas de LA EMPRESA, salvo por lo que afecta a protección de datos de carácter personal.
Para la adecuada comprensión de esta política son especialmente relevantes los siguientes términos básicos sobre seguridad de la información:
Para el desarrollo de esta política se utilizarán preferentemente los conceptos y términos utilizados en las normas certificables, matizados y/o ampliados en un glosario de términos, que se mantendrá a estos efectos, cuando resulte necesario para facilitar su comprensión.
LA EMPRESA depende de los sistemas TIC (Tecnologías de la Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que las distintas áreas de LA EMPRESA (áreas en lo sucesivo) deben aplicar las medidas mínimas de seguridad exigidas por las normas certificables, así como realizar un seguimiento continuo de los niveles de prestación de los servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Las diferentes áreas deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.Las áreas deben estar preparadas para prevenir, detectar, reaccionar y recuperarse de incidentes. A estos efectos, según detallan los siguientes apartados, se tendrá especialmente presente el Artículo 7 del ENS, sin perjuicio de otros requisitos considerados en otras normas certificables. En la medida de lo posible dichas actividades se centralizarán y ejecutarán con criterios homogéneos para cobertura a todas las áreas.
Las áreas deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, las áreas deben:
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detección, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios. A estos efectos se atenderán las previsiones de las normas certificables a efectos de monitorización, especialmente de líneas de defensa, y de reevaluación y auditorías periódicas. Se establecerán mecanismos de detección, análisis y reporte que lleguen a las personas responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
Las áreas deben:
Las leyes, reglamentos, y otra normativa, nacional o internacional, a la que la entidad está sujeta es la siguiente:
Además, el carácter jurídico de LA EMPRESA como entidad de derecho privado vinculada o dependiente de las Administraciones Públicas, y su catalogación como empresa proveedora de servicios digitales, contempla la aplicación de las siguientes normas:
Asimismo, se tendrá en consideración la Guía CCN-STIC-830, sobre el Ámbito de aplicación del Esquema nacional de seguridad y las instrucciones técnicas de seguridad emanadas del ENS (artículo 39)
Las leyes, reglamentos, y otra normativa, nacional o internacional, a la que la entidad está sujeta es la siguiente:
La organización de seguridad en LA EMPRESA se articula a través de los siguientes roles principales, que ejercen sus funciones coordinados a través de la Dirección de Seguridad (ver más adelante).
Los criterios organizativos que se detallan a continuación aplican tanto a la Sede España como a la Sede Bogotá. Se articularán de forma homogénea, sin menoscabo de sus diferencias organizativas en otros ámbitos, asegurando la coordinación a efectos de cumplimiento y evitando siempre interferencias de seguridad entre las sedes.
Los roles indicados se adecuarán en lo posible a las recomendaciones establecidas en las normas certificables y en otras normas, nacionales o internacionales. No obstante, siempre se adecuarán a las necesidades y a la estructura organizativa de LA EMPRESA.
Organizados en los comités que se describen en el siguiente apartado, el personal designado para ejercer estos roles atenderá las necesidades en materia de seguridad de la información tanto en el día a día como en el medio y el largo plazo. Prestarán especial atención a las necesidades de coordinación, dado el carácter eminentemente transversal de los objetivos de seguridad.
Tanto la Sede España como la Sede Colombia establecerán los siguientes comités para asegurar la gobernanza en materia de seguridad.
La Dirección de Seguridad atenderá las necesidades principales en el día a día e impulsará la actividad de la empresa en esta materia en el corto, medio y largo plazo. Su propósito principal es la toma de decisiones de forma colegiada, la dirección del Comité de Seguridad y la actuación solidaria de sus integrantes ante eventuales ausencias, evitando retrasos en la gestión. Aplican las siguientes consideraciones:
La coordinación de la seguridad entre sedes se articulará a través de sus direcciones de seguridad, mediante sesiones ordinarias o extraordinarias. Para ello, se atenderán especialmente las directrices de la Dirección de Tecnología y Estandarización que resulten de iniciativas tratadas en las sesiones de los distintos comités de dirección internacional. En cualquier caso, corresponde a las personas que ejercen como Responsables de la Seguridad de la Información de ambas sedes, completar dichas iniciativas para asegurar la coordinación y el cumplimiento de esta política, al menos a través de dos sesiones ordinarias en un año, especialmente si no se hubieran articulado sesiones extraordinarias. A este nivel de coordinación se decidirá sobre la conveniencia de realizar sesiones extraordinarias conjuntas de los respectivos Comités de Seguridad, de acuerdo con sus funciones que se detallan a continuación.
El Comité de Seguridad de la Información, en cada sede, se constituye como órgano colegiado de LA EMPRESA con el especial propósito de difundir y coordinar la seguridad a través de toda la organización, especialmente en el medio y largo plazo. Estará compuesto por las personas integrantes de la Dirección de Seguridad y por personal delegado en representación de todas las áreas que estructuran el organigrama de la organización, aplicando los siguientes criterios de representación:
Los criterios de delegación y representación deberán ajustarse en esta política, si procede, cuando LA EMPRESA determine cambios en su estructura o ante modificaciones en el alcance del SGSI.
Cada Comité de Seguridad determinará su régimen de sesiones ordinarias, en general menos frecuentes que las correspondientes a la Dirección de Seguridad, aunque siempre adecuadas a las necesidades del momento. Corresponde a las personas que actúan como Responsables de la Seguridad de la Información proponer contenidos y convocar las sesiones ordinarias y extraordinarias de cada Comité de Seguridad.
Corresponde a la Dirección General de LA EMPRESA, en España, y a la Gerencia General, en Colombia, designar al personal que desempeñará los roles integrados en cada Dirección de Seguridad, a propuesta de la Dirección de Tecnología y Estandarización, de común acuerdo con quienes ejercen como Responsables de la Seguridad de la Información.
Corresponde a la Dirección de Tecnología y Estandarización designar a las personas delegadas indicadas en el apartado anterior, es decir, al resto de integrantes de los Comités de Seguridad de común acuerdo con las personas que actúan como Responsables de la Seguridad de la Información. Las propuestas de designación atenderán los siguientes criterios:
Las designaciones aprobadas quedarán formalizadas, para ambas sedes, en las condiciones que establezca un PGC-01. Control de documentos y registros, que será acorde a esta política y asegurará que se disponga de evidencias de esas designaciones. Estas evidencias detallarán con claridad el rol a desempeñar, la persona que lo desempeñará y la fecha en la que se asumen las funciones.
Las designaciones vigentes en la Sede España y las designaciones vigentes en la Sede Colombia quedarán disponibles para general conocimiento de toda la plantilla. Para ello se habilitarán al menos los siguientes puntos de acceso a las designaciones:
Las designaciones se revisarán al menos cada 2 años o cuando el puesto quede vacante.
En el Anexo 1 - Roles y Responsabilidades se detallan las funciones y responsabilidades de los diferentes roles relacionados con la seguridad de la información, acordes a lo ya indicado en esta política.
La Dirección General de LA EMPRESA faculta a la Dirección de Tecnología y Estandarización para aprobar ajustes en las funciones y responsabilidades indicadas en este anexo, siempre que:
Con el propósito de minimizar riesgos derivados de problemas de segregación de funciones, ese anexo también identificará las funciones incompatibles aplicables a los roles operativos de la empresa, especialmente los correspondientes al personal de las áreas de producción de LA EMPRESA. Se actualizarán de forma alineada a las mejoras aplicadas, de acuerdo con lo indicado en el apartado 9.
Corresponde a la Dirección de Seguridad la revisión periódica de esta política, que será al menos anual. Esta revisión atenderá las propuestas de mejora que se reciban desde las distintas áreas de la empresa y, en especial, las que formule el Comité de Calidad.
Esta política y sus modificaciones, incluido su desarrollo sintetizado en el Manual de Seguridad al que se hace referencia en el apartado 9, se someterá a la aprobación de la Dirección General de LA EMPRESA, en España, y de la Gerencia General, en Colombia, a propuesta de la Dirección de Tecnología y Estandarización. Las sucesivas aprobaciones quedarán formalizadas en actas específicas en las condiciones que establezca un PGC-01. Control de documentos y registros, que será acorde a esta política.
Los conflictos que pudieran suscitarse durante la actividad de la Dirección de Seguridad o del Comité de Seguridad (conflictos de competencias, de planificación, o de cualquier otro tipo) se resolverán de forma natural entre sus integrantes, respetuosamente, evitando el conflicto entre las personas. Si no llegaran a resolverse adecuadamente se elevarán por cualquiera de las personas afectadas para decisión superior:
En caso de conflictos en la coordinación de la seguridad entre sedes, se procederá de forma análoga. Para conflictos no resueltos se elevarán las decisiones al Comité de Dirección Internacional.
LA EMPRESA trata datos personales.
La documentación relativa a la normativa de protección de datos personales, de aplicación en las sedes de España y de Colombia, al que tendrán acceso las personas afectadas. Recoge los tratamientos afectados y las responsabilidades correspondientes.
Todos los sistemas de información se ajustarán a las medidas de seguridad que sean requeridas por la normativa, según la naturaleza y finalidad de los datos personales que se traten y de acuerdo con el análisis de riesgos relativo a la protección de datos personales que se ha realizado.
En el caso de que las normativas aplicables en ambas sedes presenten discrepancia, se aplicarán las medidas de seguridad más garantistas.
Todos los sistemas sujetos a esta Política se someterán a un análisis de riesgos, evaluando las amenazas a las que están expuestos sus activos y el eventual impacto si se materializan. Este análisis se repetirá:
Para armonizar los análisis de riesgos, la Dirección de Seguridad establecerá una valoración de referencia de los distintos tipos de información manejados y los diferentes servicios prestados sujetos al alcance y nivel de seguridad indicados en el apartado 2. Para ello:
Esta Política de Seguridad de la Información se desarrollará por medio de otras políticas de seguridad que afronten aspectos específicos, también denominadas normativas de seguridad. Dichas políticas de seguridad estarán a disposición de todas las personas de la organización que necesiten conocerlas, en particular para aquellas que administren los sistemas de información y comunicaciones. Cuando proceda, la aplicación de las políticas se plasmará en procedimientos igualmente documentados.
El desarrollo de esta política se sintetizará en un Manual de Seguridad de la Información que identificará las políticas específicas que aplican a determinados perfiles, y los procedimientos asociados que correspondan. Se considerará un procedimiento específico relativo al control de documentos y registros corporativo; este documento establecerá criterios de gestión y de integración en el Sistema de Corporativo de LA EMPRESA, convenciones a efectos de homogeneidad y los criterios de control del sistema documental del SGSI.
El SGSI integrará con el Sistema Corporativo de Gestión todos los aspectos comunes de gestión en LA EMPRESA, focalizando su atención en las necesidades de seguridad:
La Dirección de LA EMPRESA mantiene un largo compromiso con la calidad de los productos y servicios que ofrece a sus clientes y, para lograrlo, mantiene un compromiso firme con la MEJORA CONTINUA en las distintas áreas de actividad. La actividad en materia de seguridad de información seguirá los mismos criterios y, dado su carácter transversal, se coordinará con el resto de las actividades. En especial, el desarrollo de esta política considerará necesidades de seguridad en las más recientes transformaciones orientadas a la mejora de la calidad percibida por los clientes:
La mejora continua se plasmará en un plan de mejora de la seguridad, debidamente priorizado atendiendo a la gestión de riesgos, que se irá acometiendo en función de las necesidades y los recursos disponibles. Corresponde a la Dirección de Tecnología y Estandarización supervisar la redacción, mantenimiento y ejecución de este plan aplicando criterios consensuados en el Comité de Dirección de LA EMPRESA, articulándolo a través de la Dirección de Seguridad.
Se prestará especial atención a mejorar las condiciones de segregación de funciones, concretando las recomendaciones aplicables, especialmente cuando resulten necesarias ante los cambios organizativos que requiera LA EMPRESA.
El SGSI, concebido como subsistema del Sistema Corporativo de Gestión (SCG), está igualmente alineado con el Sistema de Gestión de Continuidad de Negocio (SGCN), que también forma parte del SCG.
El desarrollo del SGSI y del SGCN tendrán presentes los siguientes principios:
Todas las personas de LA EMPRESA tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y el resto de políticas de seguridad que les aplican (normativa de seguridad), siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a las personas afectadas.
Asimismo atenderán actividades de concienciación en materia de seguridad de la información al menos una vez al año. Preferentemente se establecerá un programa de concienciación continua con este propósito, que atenderá en particular a las personas de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación como si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
La Dirección de Seguridad coordinará el cumplimiento de estos preceptos con el Área de Recursos Humanos y con la Secretaría General. Se atenderán especialmente las necesidades de formación de forma acorde al compromiso de LA EMPRESA para el desarrollo profesional de su personal, y para ello aplicarán los correspondientes procedimientos.
El personal de LA EMPRESA queda sujeto al Código de Conducta. A efectos de seguridad de la información, la Dirección de Seguridad colaborará con el Órgano de Cumplimiento Normativo (OCN) en lo relativo a la adecuada aplicación de los preceptos de seguridad señalados en el propio código, en la presente Política o en las normas o procedimientos que de la misma se derivan.
En el supuesto de que una persona obligada no observe alguno de esos preceptos, será de aplicación el régimen disciplinario que establece dicho código, sin perjuicio de que ambos órganos, de común acuerdo y con el visto bueno del Comité de Dirección, desarrollen aspectos específicos del régimen disciplinario en lo relativo a seguridad acordes a las necesidades de LA EMPRESA. En todo caso se aplicarán los criterios generales que establece el Código de Conducta y, de forma especial, el principio de proporcionalidad de las eventuales sanciones a que hubiere lugar. No es competencia de la Dirección de Seguridad aplicar sanciones, sino el promover el cumplimiento de dichas normas, identificar eventuales incumplimientos e investigarlos, articular apercibimientos a las personas infractoras en los casos leves y, en los graves, trasladarlos al OCN y/o al Área de Recursos Humanos según sus respectivas competencias.
El Código de conducta no presenta diferencias en materia de seguridad entre las sedes de LA EMPRESA sujetas en a esta Política. No obstante, para facilidad de personal obligado, se detallan a continuación enlaces independientes a los contenidos que también atienden a otras consideraciones normativas.
Cuando LA EMPRESA presta servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán los canales de reporte y coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando LA EMPRESA utilice los servicios de terceras partes o les ceda información, se les hará partícipes de esta Política de Seguridad de la Información y de las políticas de seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en las políticas, pudiendo desarrollar sus propios procedimientos operativos para satisfacerlas. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceras entidades está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en este Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe de quien ejerce como Responsable de Seguridad de la Información en el que se precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por las personas que actúan como responsables de la información y los servicios afectados antes de seguir adelante.
Este documento es responsabilidad de quien ejerce como Responsable de Seguridad de la Información. Al menos una vez al año, debe verificar el documento y actualizarlo si procede, actuando en nombre de la Dirección de Seguridad.
El responsable indicado dará instrucciones para que las nuevas ediciones se publiquen en la web corporativa, por motivos de transparencia, para facilitar su conocimiento por las partes interesadas.
Santos Pavón de Paula
DIRECTOR GENERAL
Edición enero de 2024