política de

SEGURIDAD

__wf_reservado_decorativo

1.  ORGANIZACIÓN E IMPLEMENTACIÓN DEL PROCESODE SEGURIDAD (ART.13)

La información es un activo crítico y valioso paraALPINE SECURITY S.L. (en adelante, ALPINE SECURITY) ya que es fundamental parael desarrollo de su actividad. ALPINE SECURITY se esfuerza por gestionar estainformación de manera precisa, integral y garantizando su disponibilidad.

La seguridad de la información se refiere a laprotección de la misma frente a una amplia gama de amenazas, con el objetivo deasegurar la continuidad del negocio, minimizar los riesgos y maximizar elretorno de las inversiones y oportunidades.

Por lo tanto, se reconoce la importancia de implementar medidas deseguridad que salvaguarden la información de amenazas tanto internas comoexternas. Estas amenazas pueden incluir errores humanos, acciones maliciosas(como fraude, malversación, sabotaje o violaciones de la privacidad), errorestécnicos y eventos de fuerza mayor, como desastres naturales.

La Dirección de ALPINE SECURITY tiene laresponsabilidad de establecer las directivas de seguridad. La adopción de estasdirectivas por parte de la Compañía permitirá reducir al mínimo los posiblesriesgos a los que se enfrenta en el desarrollo de sus actividades comerciales.

2.  ALCANCE

La presente Política de Seguridad de laInformación es de aplicación para todos aquellos individuos que tengan o puedanacceder a la información de ALPINE SECURITY, ya sea de manera directa o através de sistemas de información, durante el desarrollo de sus funciones.

En consecuencia, los alcances de esta Política deSeguridad de la Información incluyen:

Todos los colaboradores de ALPINE SECURITY,independientemente de su condición de empleados permanentes o eventuales, asícomo cualquier persona externa a ALPINE SECURITY que cuente con acceso a lainformación gestionada o propiedad de la organización.

La totalidad dela información y sistemas de información que sean propiedad de ALPINE SECURITYo estén bajo su administración.

3.  MARCONORMATIVO

El marco normativo en materia de seguridad de lainformación en el que ALPINE SECURITY desarrolla su actividad, esencialmente,es el siguiente:

•       Ley Orgánica 3/2018, de 5 de diciembre, deProtección de Datos Personales y garantía de los derechos digitales.  

•       RD 311/2022, de 3 de mayo, por el que seregula el Esquema Nacional de Seguridad en el ámbito de la AdministraciónElectrónica.  

•       ENS. Artículo 12. Organización eimplantación del proceso de seguridad.

•       REGLAMENTO (UE) 2016/679 DEL PARLAMENTOEUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de laspersonas físicas en lo que respecta al tratamiento de datos personales y a lalibre circulación de estos datos (reglamento General de Protección de Datos),de aplicación al tratamiento total o parcialmente automatizado de datospersonales, así como al tratamiento no automatizado de datos personalescontenidos o destinados a ser incluidos en un fichero.

•       Ley 34/2002, de 11 de julio, de Serviciosde la Información de Comercio electrónico, LSSICE.

•       Guía de Seguridad de las TIC CCN-STIC 805ENS. Política de seguridad de la información.

•       Guía de Seguridad de las TIC CCN-STIC 801ENS. Responsabilidades y funciones.

•       El convenio colectivo aplicable,correspondiente a “Empresas de consultoría, y estudios de mercado y de laopinión pública”.

•       Ley 34/2002, de 11 de julio, de Serviciosde la Sociedad de la Información y Comercio Electrónico (LSSI-CE).

•       UNE-EN-ISO 9001, UNE-ISO-IEC_27001,  

4.  OBJETIVOS

La presentePolítica de Seguridad de la Información tiene como propósito establecer lasdirectrices para la formulación de normativas de seguridad, con el fin desalvaguardar y garantizar los principios fundamentales de la seguridad de lainformación: confidencialidad, integridad, disponibilidad y trazabilidad.

En la elaboración de este documento y laconsecución de los objetivos establecidos, se han considerado los siguientesaspectos clave:

•       La información y los sistemas deinformación de la Compañía son activos críticos que requieren protección yaseguramiento de su disponibilidad.

•       La información de ALPINE SECURITY debe serprotegida de acuerdo con los requisitos legales, su valor, su grado decriticidad y su nivel de sensibilidad.

•       La responsabilidad de proteger estosactivos recae en todos los empleados y colaboradores externos que tienen accesoa la información.

•       Las medidas de seguridad aplicadas a lainformación deben establecerse considerando su clasificación, la cualdeterminará su nivel de confidencialidad, integridad, disponibilidad ytrazabilidad. Estas medidas deben ser determinadas mediante una evaluacióncontinua de los riesgos.

5.  DECLARACIÓNDE PRINCIPIOS

Los principios que sustentan las Normativas deSeguridad de la Información son los siguientes:

•       La información es protegida a lo largo detodo su ciclo de vida, desde su creación o recepción, pasando por suprocesamiento, comunicación, transporte, almacenamiento, difusión a terceros yeventual destrucción.

•       ALPINE SECURITY se encarga de proteger lainformación contra accesos no autorizados, divulgación indebida o pérdida.

•       Cada empleado tiene la responsabilidad yel deber de proteger adecuadamente la información de acuerdo con las normativasde seguridad establecidas.

•       Todo el personal, incluyendo el personalexterno o terceros que tengan acceso a la información de AT, está sujeto a lasnormativas de seguridad de ALPINE SECURITY.

6.  CONSIDERACIONES DE LA POLÍTICA DESEGURIDAD DE LA INFORMACIÓN.

•       La Política de Seguridad de la Informaciónha sido aprobada por la Dirección de ALPINE SECURITY.

•       Tanto el contenido de esta política comolas Normativas de Seguridad de la Información son de obligatorio cumplimientopara todo el personal de ALPINE SECURITY, incluyendo a los contratadosexternos.

•       El cumplimiento de la Política deSeguridad de la Información es fundamental para proteger los derechos legalesde ALPINE SECURITY. Cualquier individuo que incumpla esta política estarásujeto a las medidas disciplinarias y legales que la Dirección de ALPINESECURITY considere apropiadas.

•       La Política de Seguridad de la Informaciónes un documento dinámico que debe actualizarse y modificarse según seanecesario.

•       La Dirección de ALPINE SECURITY secompromete a promover las acciones necesarias para que tanto el personalinterno de ALPINE SECURITY como el personal externo y terceros estén al tanto yapliquen todos los aspectos incluidos en esta política.

7.  NORMATIVAS DE SEGURIDAD DE LA INFORMACIÓN.

Con el fin de lograr los objetivos y principiosestablecidos en esta política, se han creado una serie de normativas queestablecen las reglas generales de seguridad de la información y se organizanen dominios específicos.

Estas normativas sirven como base para eldesarrollo de medidas de seguridad concretas, las cuales se formalizan a travésde la implementación de procedimientos.

Las normativas han sido definidas siguiendo elestándar CIS Critical Security Controls (CIS Controls), el cual proporciona unmarco de referencia reconocido internacionalmente en materia de seguridad. LosControles CIS reflejan el conocimiento combinado de expertos de todas laspartes del ecosistema (empresas, gobiernos, individuos), con todos los roles(respondedores y analistas de amenazas, tecnólogos, operadores y defensores detecnología de la información, descubridores de vulnerabilidades, fabricantes deherramientas, proveedores de soluciones, usuarios, formuladores de políticas,auditores, etc.), y en muchos sectores (gobierno, energía, defensa, finanzas,transporte, academia, consultoría, seguridad, TI, etc.), que se han unido paracrear, adoptar y respaldar los Controles CIS. Los controles del CIS se agrupansegún los siguientes dominios:

7.1.                   CIS01- Inventario y Control de los Activos Empresariales.  

Control para lagestión de manera activa todos los activos de la empresa, incluyendodispositivos de usuarios finales, dispositivos de red, dispositivos noinformáticos/Internet de las Cosas (IoT) y servidores, tanto en lainfraestructura física como virtual, así como en entornos remotos y en la nube.Esto permitirá tener un inventario preciso de todos los activos que deben sermonitoreados y protegidos dentro de la empresa. Además, ayudará aidentificar y eliminar activos no autorizados o no administrados.

7.2.                   CIS02- Inventario y Control de Activos de Software

Control para lagestión de todo el software (sistemas operativos y aplicaciones) en la red dela empresa mediante la realización de inventarios, seguimiento y corrección.Solo se debe permitir la instalación y ejecución de software autorizado,mientras que se debe impedir la instalación y/o ejecución de software noautorizado o no gestionado que se encuentre. Este control garantizará que solose utilice software aprobado y reducirá los riesgos asociados con el uso desoftware no autorizado o potencialmente malicioso.

7.3.                   CIS03 - Protección de los Datos

Control para eldesarrollo de procesos y controles técnicos para identificar, clasificar,manejar, retener y eliminar de forma segura los datos.

7.4.                   CIS04- Configuración Segura de Activos y Software Empresarial

Control para establecer y mantener la configuración segura de los activosempresariales (Dispositivos de usuarios, incluidos portátiles y móviles;dispositivos de red; dispositivos no informáticos/IoT; y servidores) y software(Sistemas operativos y aplicaciones).

7.5.                   CIS05 - Administración de Cuentas  

Control paradefinir procesos y herramientas para asignar y administrar la autorización delas credenciales de las cuentas de usuario, incluidas las cuentas deadministrador, así como las cuentas de servicio, para los activos y el softwareempresarial.  

7.6.                   CIS06- Gestión de Control de Accesos  

Control paradefinir procesos y herramientas para crear, asignar, administrar y revocarcredenciales y privilegios de acceso para cuentas de usuario, administrador yservicio para activos empresariales y software.

7.7.                   CIS07 - Gestión Continua deVulnerabilidades  

Control paradesarrollar un plan para evaluar y dar seguimiento continuo a lasvulnerabilidades en todos los activos dentro de la infraestructura de laempresa, con el fin de remediar y reducir la ventana de oportunidad para losatacantes. Monitorear las fuentes de la industria pública y privada en busca denueva información sobre amenazas y vulnerabilidades.  

7.8.                   CIS08- Gestión de Registros de Auditoría

Control para ladefinir los procedimientos de recopilación, alertar, revisión y conservación deregistros de auditoría de eventos que podrían ayudar a detectar, comprender orecuperarse de un ataque.  

7.9.                   CIS09- Protección del Correo Electrónico y Navegador Web  

Control para lamejora de la protección y detección de amenazas del correo electrónico yvectores web, ya que estas son oportunidades para que los atacantes manipulenel comportamiento humano a través de su compromiso.

7.10.             CIS10 - Defensas contra Malware  

Control para prevenir o controlar la instalación, propagación y ejecuciónde aplicaciones, códigos o scripts maliciosos en activos empresariales.  

7.11.             CIS11 - Recuperación de Datos  

Control paraestablecer y mantener prácticas de recuperación de datos suficientes pararestaurar los activos empresariales incluidos en el alcance a un estado deconfianza previo al incidente.  

7.12.             CIS12- Gestión de la Infraestructura de Red  

Control paraestablecer, implementar y administrar activamente (rastrear, informar,corregir) dispositivos de red, con el fin de evitar que los atacantes explotenlos servicios de red y los puntos de acceso vulnerables  

7.13.             CIS13- Monitoreo y Defensa de la red  

Control paraoperar procesos y herramientas para establecer y mantener la supervisión ydefensa integrales de la red contra las amenazas de seguridad en toda lainfraestructura de red y la base de usuarios de la empresa.

7.14.              CIS14- Concientización en Seguridad y Formación de Habilidades

Control paraestablecer y mantener un programa de concientización sobre seguridad parainfluir en el comportamiento de la fuerza laboral para que sea consciente de laseguridad y esté debidamente capacitado para reducir los riesgos deciberseguridad para la empresa

7.15.             CIS15- Gestión de Proveedores de Servicios

Control paradesarrollar un proceso para evaluar a los proveedores de servicios que poseendatos confidenciales o que son responsables de las plataformas o procesos de TIcríticos de una empresa, para garantizar que estos proveedores protejan esasplataformas y datos de manera adecuada

7.16.             CIS16- Seguridad en el Software de Aplicación

Control para administrar el ciclo de vida de seguridad del softwaredesarrollado, alojado o adquirido internamente para prevenir, detectar ycorregir las debilidades de seguridad antes de que puedan afectar a la empresa.

7.17.             CIS17- Gestión de Respuesta a Incidentes  

Control paraestablecer un programa para desarrollar y mantener una capacidad de respuesta aincidentes (por ejemplo, políticas, planes, procedimientos, roles definidos,capacitación y comunicaciones) para preparar, detectar y responder rápidamentea un ataque.  

7.18.             CIS18 - Pruebas de Penetración  

Control para probar la eficacia y laresistencia de los activos empresariales mediante la identificación yexplotación de debilidades en los controles (personas, procesos y tecnología) yla simulación de los objetivos y acciones de un atacante.

8.  FUNCIONESDE SEGURIDAD

ALPINE SECURITY ha nombrado un COMITÉ de Seguridadcon sus Funciones y Responsabilidades.  

El establecimiento de este comité, así como la designación de losdiferentes roles se hallan registrados en el Acta de Constitución del comité: AS_Acta de Constitución Cómite deSeguridad_v1 y en Acta de

Nombramientos: AS_Roles y Funciones de Responsables delENS_v1  El Comité de Seguridad de laInformación del ENS está formado por:  

•       Responsablede Seguridad  

•       Responsablede Sistemas

•       Responsablede la Información  

•       Responsabledel Servicio

•       Delegado de Protección de Datos (DPD)

•      Auditor Interno

Y este Comité de Seguridad contará con Suplentespara cada uno de los Responsables del Comité de Seguridad, es decir 5suplentes.

Se debenidentificar unos claros responsables para velar por su cumplimiento y serconocida por todos los miembros de la organización. Se detallarán en lapolítica de seguridad de la organización las atribuciones de cada responsable.

Los nombramientos los establece la Dirección de laorganización y se revisan cada 2 años o cuando un puesto queda vacante. Lasdiferencias de criterios que pudiesen derivar en un conflicto se tratarán en elseno del Comité de Seguridad y prevalecerá en todo caso el criterio de laDirección ejecutiva.

Los diferentes roles junto con sus respectivasfunciones y responsabilidades:

•       El Responsablede la Información tendrá como funciones:

o  Aceptarlos riesgos residuales respecto de la información, calculados en el análisis deriesgos.

o  Aunquela aprobación formal de los niveles corresponda al responsable de laInformación, se puede recabar una propuesta al responsable de la Seguridad yconviene que se escuche la opinión del Responsable del Sistema.

o  Determinarlos requisitos de la información tratada.

o  Velarpor la seguridad de la información en sus diferentes vertientes: protecciónfísica, protección de los servicios y respeto de la privacidad.

o  Estaral tanto de cambios normativos (leyes, reglamentos o prácticas sectoriales) queafecten a la Organización

o  Adoptarlas medidas de índole técnica y organizativas necesarias que garanticen laseguridad de los datos de carácter personal y eviten su alteración, pérdida,tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología,la naturaleza de los datos almacenados y los riesgos a que están expuestos, yaprovengan de la acción humana o del medio físico o natural

•       El Responsabledel servicio tendrá las funciones:

o  Determinarlos requisitos de Seguridad de los servicios prestados en los Clientes. o Revisar y aprobar los niveles de seguridad de losservicios.

o  Incluirlas especificaciones de seguridad en el ciclo de vida de los servicios ysistemas, acompañadas de los correspondientes procedimientos de control.

o  Valorarálas consecuencias de un impacto negativo sobre la seguridad de los servicios,se efectuará atendiendo a su repercusión en la capacidad de la organizaciónpara el logro de sus objetivos, la protección de sus activos, el cumplimientode sus obligaciones de servicio, el respeto de la legalidad y los derechos delos Clientes.

o  Asumirla propiedad de los riesgos sobre los servicios.

•       El Responsablede sistemas tendrá las funciones:

o  Desarrollar,operar y mantener el Sistema durante todo su ciclo de vida, de susespecificaciones, instalación y verificación de su correcto funcionamiento.

o  Definirla topología y política de gestión del Sistema estableciendo los criterios deuso y los servicios disponibles en el mismo.

o  Definirla política de conexión o desconexión de equipos y usuarios nuevos en elSistema.

o  Implantary controlar las medidas específicas de seguridad del Sistema y cerciorarse deque éstas se integren adecuadamente dentro del marco general de seguridad.

o  Determinarla configuración autorizada de hardware y software a utilizar en el Sistema.

o  Aprobartoda modificación sustancial de la configuración de cualquier elemento delSistema.

o  Llevara cabo el proceso de análisis y gestión de riesgos en el Sistema.

o  Determinarla categoría del sistema y determinar las medidas de seguridad que debenaplicarse Elaborar y aprobar la documentación de seguridad del Sistema.

o  Investigarlos incidentes de seguridad que afecten al Sistema, y en su caso, comunicaciónal responsable de Seguridad.

o  Establecerplanes de contingencia y emergencia, llevando a cabo frecuentes ejercicios paraque el personal se familiarice con ellos.

•       El Responsablede seguridad tendrá las funciones:

o  Responsablede la Seguridad es la persona designada por la Dirección de la Organización.

o  Determinarlas decisiones para satisfacer los requisitos de seguridad de la información yde los servicios. o Trabajarpara conseguir una total seguridad de los datos de la empresa, así como laprivacidad de estos. o Supervisar,controlar y administrar el acceso a la información de la empresa, y de sustrabajadores.

o  Elaborarun conjunto de medidas de respuesta ante incidentes de seguridad relacionadoscon la información, incluyendo la recuperación ante desastres.

o  Garantizarel cumplimiento de la normativa relacionada con la seguridad de la información.

o  Encaso de servicios externalizados, la responsabilidad última la tiene siempre laOrganización destinataria de los servicios, aun cuando la responsabilidadinmediata pueda corresponder (vía contrato) a la organización prestataria delservicio.

o  Mantenerla seguridad de la información manejada y de los servicios prestados por los o Sistemas de información en su ámbito deresponsabilidad, de acuerdo con lo establecido en la Política de Seguridad dela Información de la organización.

o  Promoverla formación y concienciación en materia de seguridad de la información.

o  Garantizarel buen uso del equipamiento informático dentro de su ámbito deresponsabilidad.

o  Supervisary coordinar al equipo encargado de llevar a cabo las medidas de respuesta encaso de brechas de seguridad.

o  POC(Persona de contacto de seguridad de la información) Se responsabilizará de laseguridad con los Clientes, en los que presta servicio ALPINE SECURITY.

o  Realizaroperaciones de seguridad para luchar contra el fraude y el robo de información.

o  Diseñardel Plan de formación, en el ámbito del ENS, para las personas de ALPINESECURITY que prestan servicios en proyectos de AA.PP.

•       El DPDtendrá las funciones o Informary asesorar al responsable o al encargado del tratamiento y a los empleados quese ocupen del tratamiento de las obligaciones que les incumben en virtud delpresente Reglamento y de otras disposiciones de protección de datos de la Unióno de los Estados miembros.

o  Supervisarel cumplimiento de lo dispuesto en el presente Reglamento, de otrasdisposiciones de protección de datos de la Unión o de los Estados miembros y delas políticas del responsable o del encargado del tratamiento en materia deprotección de datos personales, incluida la asignación de responsabilidades, laconcienciación y formación del personal que participa en las operaciones detratamiento, y las auditorías correspondientes.

o  Ofrecerel asesoramiento que se le solicite acerca de la evaluación de impacto relativaa la protección de datos y supervisar su aplicación de conformidad con elartículo 35.

o  Cooperarcon la autoridad de control.

o  Actuarcomo punto de contacto de la autoridad de control para cuestiones relativas altratamiento, incluida la consulta previa a que se refiere el artículo 36, yrealizar consultas, en su caso, sobre cualquier otro asunto.

o  Desempeñarásus funciones prestando la debida atención a los riesgos asociados a lasoperaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, elcontexto y fines del tratamiento.

•       El Auditor Internotendrá las funciones

o   El Auditor Interno deSeguridad de la Información es designado por la Dirección de la Organización.

o   Es responsable deevaluar y asegurar el cumplimiento de los requisitos de seguridad de lainformación y de los servicios proporcionados.

o   Realizar auditorías periódicas para evaluar elcumplimiento de la normativa y políticas de seguridad de la información.

o   Determinar la eficaciade las medidas de seguridad implementadas y su alineación con los estándares yregulaciones aplicables.

o   Revisar y auditar elcumplimiento del Esquema Nacional de Seguridad (ENS) y otras normativasrelevantes

o   Identificar y evaluarriesgos asociados a la seguridad de la información y proponer medidas demitigación.

o   Realizar análisis deriesgos periódicos y mantener actualizados los informes de riesgo.

o   Revisar y actualizar las políticas yprocedimientos de seguridad de la información para asegurar su relevancia yefectividad.

o   Hay que asegurar que laspolíticas de seguridad sean comunicadas y entendidas por todo el personal.

o   Elaborar informes deauditoría y presentar los hallazgos y recomendaciones a la Dirección.

o   Ser el punto de contactoen materia de seguridad de la información tanto para la Dirección como para losequipos internos y externos.

9.  REPORTES

El administrador de seguridad reporta alResponsable del Sistema o al Responsable de la Seguridad, según sea sudependencia funcional:  

•       Incidentes relativos a la seguridad delsistema o acciones de configuración, actualización o corrección.

•       El Responsable del Sistema informa alResponsable de la Información de las incidencias funcionales relativas a lainformación que le compete.

•       El Responsable del Sistema informa alResponsable del Servicio de las incidencias funcionales relativas al servicioque le compete.

•       El Responsable del Sistema reporta alResponsable de la Seguridad:  

•       actuaciones en materia de seguridad, enparticular en lo relativo a decisiones de arquitectura del sistema  

•       Resumen consolidado de los incidentes deseguridad.

10.      ANÁLISISY GESTIÓN DE LOS RIESGOS (ART. 14)

Se realizará un análisis de riesgos, evaluando lasamenazas y los riesgos a los que están expuestos. Este análisis será la basepara determinar las medidas de seguridad que se deben adoptar, además de losmínimos establecidos según lo previsto en el artículo 7 y 14 del BOE, serepetirá:

•       Regularmente, al menos una vez al año.

•       Cuando cambie la información manejada.

•       Cuando cambien los servicios prestados.

•       Cuando ocurra un incidente grave deseguridad.

•       Cuando se reporten vulnerabilidadesgraves.

•       Cuando haya un incidente de seguridadrelacionado con la normativa LOPDGDD

•       Cuando haya una brecha de seguridadrelacionada con la información tratada de un usuario según la normativaLOPDGDD.  

Los criterios deevaluación de riesgos se especificarán en la metodología de evaluación deriesgos y de incidentes de seguridad que elaborará la organización, basándoseen estándares, buenas prácticas reconocidas y normas jurídicas.  

Deberán tratarse, como mínimo, todos los riesgosque puedan impedir la prestación de los servicios o el cumplimiento de lamisión de la organización de forma grave. Se priorizarán especialmente losriesgos que impliquen un cese en la prestación de servicios, o repercuta adicha información tratada durante el servicio.

Los criterios de evaluación de riesgos seespecificarán en la metodología de evaluación de riesgos que elaborará laorganización, basándose en estándares y buenas prácticas reconocidas. Deberántratarse, como mínimo, todos los riesgos que puedan impedir la prestación delos servicios o el cumplimiento de la misión de la organización de forma grave.Se priorizarán especialmente los riesgos que impliquen un cese en la prestaciónde servicios de ALPINE SECURITY en los Clientes.

El propietario de un riesgo debe ser informado de los riesgos que afectan asu propiedad y del riesgo residual al que está sometida. Cuando un sistema deinformación entra en operación, los riesgos residuales deben haber sidoaceptados formalmente por su correspondiente propietario.

11.       GESTIÓNDE PERSONAL (ART. 15)

El personal, propio o ajeno, relacionado con lossistemas de información sujetos a lo dispuesto en este real decreto 311/2022,deberá ser formado e informado de sus deberes, obligaciones y responsabilidadesen materia de seguridad.

Su actuación, deberá ser supervisada paraverificar que se siguen los procedimientos establecidos, aplicará las normas yprocedimientos operativos de seguridad aprobados en el desempeño de suscometidos.

12.       PROFESIONALIDAD(ART. 16)

La seguridad de los sistemas de información estaráatendida y será revisada y auditada por personal cualificado, dedicado einstruido en todas las fases de su ciclo de vida: planificación, diseño,adquisición, despliegue, explotación, mantenimiento, gestión de incidencias ydesmantelamiento.

Las entidades delámbito de aplicación de este real decreto exigirán, de manera objetiva y nodiscriminatoria, que las organizaciones que les presten servicios de seguridadcuenten con profesionales cualificados y con unos niveles idóneos de gestión ymadurez en los servicios prestados.

ALPINE SECURITY determinará los requisitos deformación y experiencia necesaria del personal para el desarrollo de su puestode trabajo.

13.                  AUTORIZACIÓNY CONTROL DE LOS ACCESOS (ART. 17)

El acceso controlado a los sistemas de informacióncomprendidos en el ámbito de aplicación de este real decreto deberá estarlimitado a los usuarios, procesos, dispositivos u otros sistemas deinformación, debidamente autorizados, y exclusivamente a las funcionespermitidas.

Los privilegios de acceso de un recurso (persona)al sistema de información de ALPINE SECURITY, quedan restringidos por defectoal mínimo necesario para el desarrollo de sus funciones.

El sistema de información de ALPINE SECURITY semantendrá siempre configurado, de tal manera que evite que un recurso (persona)pueda acceder accidentalmente a recursos con derechos distintos de losautorizados.

14.      PROTECCIÓNDE LAS INSTALACIONES (ART. 18)

Los sistemas de información y su infraestructurade comunicaciones asociados a ALPINE SECURITY deberán permanecer en áreas controladas y disponer de los mecanismos deacceso adecuados y proporcionales en función del análisis de riesgos, sinperjuicio de lo establecido en la Ley 8/2011, de 28 de abril, por la que seestablecen medidas para la protección de las infraestructuras críticas y en elReal Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento deprotección de las infraestructuras críticas.

15.                  ADQUISICIÓNDE PRODUCTOS DE SEGURIDAD Y CONTRATACIÓN DE SERVICIOS DE SEGURIDAD (ART. 19)

En la adquisición de productos de seguridad o contratación de servicios deseguridad de las tecnologías de la información y la comunicación que vayan aser empleados en los sistemas de información del ámbito de aplicación de estereal decreto, se utilizarán, de forma proporcionada a la categoría del sistemay el nivel de seguridad determinados, aquellos que tengan certificada lafuncionalidad de seguridad relacionada con el objeto de su adquisición.

El Organismo de Certificación del Esquema Nacionalde Evaluación y Certificación de Seguridad de las Tecnologías de la Informacióndel Centro Criptológico Nacional (en adelante, CCN), constituido al amparo delo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12 de marzo,por el que se regula el Centro Criptológico Nacional, teniendo en cuenta loscriterios y metodologías de evaluación nacionales e internacionales reconocidaspor este organismo y en función del uso previsto del producto o servicioconcreto dentro de sus competencias, determinará los siguientes aspectos:

a)      Losrequisitos funcionales de seguridad y de aseguramiento de la certificación.

b)     Otrascertificaciones de seguridad adicionales que se requieran normativamente.

c)      Excepcionalmente,el criterio a seguir en los casos en que no existan productos o servicioscertificados.

Para la contratación de servicios de seguridad seestará a lo señalado en los apartados anteriores y a lo dispuesto en elartículo 16.

16.       MÍNIMOPRIVILEGIO (ART. 20)

Los sistemas de información deben diseñarse yconfigurarse otorgando los mínimos privilegios necesarios para su correctodesempeño, lo que implica incorporar los siguientes aspectos:

a)       El sistema proporcionará la funcionalidadimprescindible para que la organización alcance sus objetivos competenciales ocontractuales.

b)      Las funciones de operación, administracióny registro de actividad serán las mínimas necesarias, y se asegurará que sóloson desarrolladas por las personas autorizadas, desde emplazamientos o equiposasimismo autorizados.

c)       Se eliminarán o desactivarán, mediante elcontrol de la configuración, las funciones que sean innecesarias o inadecuadasal fin que se persigue. El uso ordinario del sistema ha de ser sencillo yseguro, de forma que una utilización insegura requiera de un acto conscientepor parte del usuario.

d)     Seaplicarán guías de configuración de seguridad para las diferentes tecnologías,adaptadas a la categorización del sistema, al efecto de eliminar o desactivarlas funciones que sean innecesarias o inadecuadas.

17.       INTEGRIDADY ACTUALIZACIÓN DEL SISTEMA (ART. 21)

La inclusión de cualquier elemento físico o lógicoen el catálogo actualizado de activos del sistema, o su modificación, requeriráautorización formal del Responsable de Seguridad de ALPINE SECURITY.

La evaluación y monitorización permanentespermitirán adecuar el estado de seguridad de los sistemas atendiendo a lasdeficiencias de configuración, las vulnerabilidades identificadas y lasactualizaciones que les afecten, así como la detección temprana de cualquierincidente que tenga lugar sobre los mismos. La Responsabilidad será a cargo delresponsable de seguridad de ALPINE SECURITY .

18.       PROTECCIÓNDE LA INFORMACIÓN ALMACENADA Y EN TRÁNSITO (ART. 22)

En la organización e implantación de la seguridadse prestará especial atención a la información almacenada o en tránsito através de los equipos o dispositivos portátiles o móviles, los dispositivosperiféricos, los soportes de información y las comunicaciones sobre redesabiertas, que deberán analizarse especialmente para lograr una adecuadaprotección.

Se aplicarán procedimientos que garanticen larecuperación y conservación a largo plazo de los documentos electrónicosproducidos por los sistemas de información comprendidos en el ámbito deaplicación de este real decreto, cuando ello sea exigible.

Toda informaciónen soporte no electrónico que haya sido causa o consecuencia directa de lainformación electrónica a la que se refiere este real decreto, deberá estarprotegida con el mismo grado de seguridad que ésta. Para ello, se aplicarán lasmedidas que correspondan a la naturaleza del soporte, de conformidad con lasnormas que resulten de aplicación.

19.       PREVENCIÓN       ANTE      OTROS         SISTEMAS      DE INFORMACIÓN INTERCONECTADOS (ART. 23)

Se protegerá el perímetro del sistema deinformación, especialmente, si se conecta a redes públicas, tal y como sedefinen en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones,reforzándose las tareas de prevención, detección y respuesta a incidentes deseguridad.

20.       REGISTRODE LA ACTIVIDAD Y DETECCIÓN DE CÓDIGO DAÑINO (ART. 24)

Con el propósito de satisfacer el objeto de este real decreto, con plenasgarantías del derecho al honor, a la intimidad personal y familiar y a lapropia imagen de los afectados, y de acuerdo con la normativa sobre protecciónde datos personales, de función pública o laboral, y demás disposiciones queresulten de aplicación, se registrarán las actividades de los usuarios,  

reteniendo la información estrictamente necesariapara monitorizar, analizar, investigar y documentar actividades indebidas o noautorizadas, permitiendo identificar en cada momento a la persona que actúa.

Al objeto de preservar la seguridad de lossistemas de información, garantizando y de conformidad con lo dispuesto en elReglamento General de Protección de Datos y el respeto a los principios delimitación de la finalidad, minimización de los datos y limitación del plazo deconservación allí enunciados, los sujetos comprendidos en el artículo 2 podrán,en la medida estrictamente necesaria y proporcionada, analizar lascomunicaciones entrantes o salientes, y únicamente para los fines de seguridadde la información, de forma que sea posible impedir el acceso no autorizado alas redes y sistemas de información, detener los ataques de denegación deservicio, evitar la distribución malintencionada de código dañino así comootros daños a las antedichas redes y sistemas de información.

Para corregir o,en su caso, exigir responsabilidades, cada usuario que acceda al sistema deinformación deberá estar identificado de forma única, de modo que se sepa, entodo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quiénha realizado una determinada actividad.

21.       INCIDENTESDE SEGURIDAD (ART. 25)

La entidad titular de los sistemas de informacióndel ámbito de este real decreto dispondrá de procedimientos de gestión deincidentes de seguridad de acuerdo con lo previsto en el artículo 33, laInstrucción Técnica de Seguridad correspondiente y, en caso de tratarse de unoperador de servicios esenciales o de un proveedor de servicios digitales, deacuerdo con lo previsto en el anexo del Real Decreto 43/2021, de 26 de enero ,por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, deseguridad de las redes y sistemas de información.

Asimismo, se dispondrá de mecanismos de detección,criterios de clasificación, procedimientos de análisis y resolución, así comode los cauces de comunicación a las partes interesadas y el registro de lasactuaciones. Este registro se empleará para la mejora continua de la seguridaddel sistema.

22.      CONTINUIDADDE LA ACTIVIDAD (ART. 26)

Los sistemas dispondrán de copias de seguridad yse establecerán los mecanismos necesarios para garantizar la continuidad de lasoperaciones en caso de pérdida de los medios habituales.

23.       MEJORACONTINUA DEL PROCESO DE SEGURIDAD (ART. 27)

El proceso integral de seguridad implantado deberá ser actualizado ymejorado de forma continua. Para ello, se aplicarán los criterios y métodosreconocidos en la práctica nacional e internacional relativos a la gestión dela seguridad de las tecnologías de la información.

24.       RESULTADOSESPERADOS

Los resultados esperados de la Política deSeguridad son los siguientes:

•       Mejora de la gestión de la seguridad deforma continua. La organización contará con mejores recursos de seguridad enforma de conocimientos, procedimientos y herramientas.

•       Consolidación de la confianza en laCompañía por parte de clientes y proveedores, acompañada de una mejora en laimagen pública.

•       Disminución de costos derivados deincidentes de seguridad, mediante la progresiva implantación de controles deseguridad.

•       Aseguramiento del cumplimiento de losrequisitos legales y éticos.