política de seguridad de Pandora FMS
El objeto de esta política es alcanzar una protección adecuada de la información de Pandora FMS preservando sus cualidades de seguridad

Confidencialidad: garantizar que la información sea accesible sólo para quien esté autorizado a tener acceso a la misma.

Integridad: garantizar la exactitud y completitud de la información y de los métodos de su procesamiento.

Disponibilidad: garantizar que los usuarios autorizados tengan acceso cuando lo requieran a la información y sus activos asociados.

Trazabilidad: asegura la posibilidad de seguimiento y control de las actividades relacionadas con los datos y los sistemas de información a lo largo de todo el ciclo de vida de estos.

Autenticidad: asegura que una entidad (usuario, dispositivo, sistema) es quien dice ser.

Estos principios básicos se deben preservar y asegurar en cualquiera de las formas que adopte la información, ya sea en formato electrónico, impreso, visual o hablado, e independientemente de que sea tratada en las dependencias de Pandora FMS o fuera de ellas. Así mismo, estos principios se deberán contemplar en las siguientes áreas de seguridad:

Física: Comprendiendo la seguridad de las dependencias, instalaciones, sistemas hardware, soportes y cualquier activo de naturaleza física que trate o pueda tratar información.
Lógica: Incluyendo los aspectos de protección de aplicaciones, redes y prototipos de comunicación electrónica y sistemas informáticos.
Político-corporativa: Formada por los aspectos de seguridad relativos a la propia organización, a las normas internas, regulaciones y normativa legal.

Pandora FMS se compromete firmemente a mantener un enfoque de mejora continua en la gestión de la seguridad de la información. Este compromiso incluye la revisión y actualización periódica de políticas, procedimientos y controles, así como la adopción de nuevas tecnologías y buenas prácticas. La mejora continua será parte esencial del Sistema de Gestión de Seguridad de la Información (SGSI), y se reflejará en todas las revisiones por la dirección, así como en los planes de acción desarrollados para cumplir con los objetivos estratégicos de la organización.

Pandora FMS basa su actividad en el tratamiento de diferentes tipos de datos e información. Esto le permite ejecutar procesos básicos propios del negocio. De tal manera que el daño o pérdida de los activos de la organización inciden en la realización de sus operaciones y pueden poner en peligro la continuidad de la organización. Para que esto no suceda se ha diseñado una Política de Seguridad de la Información cuyos objetivos principales son:

Proteger, mediante controles y medidas de seguridad, los activos de la compañía frente a amenazas que puedan derivar en incidentes de seguridad.
Paliar los efectos de los incidentes de seguridad, que pueden afectar tanto a miembros de la organización como a partes interesadas externas.
Establecer un sistema de clasificación de la información y los datos con el fin de proteger los activos críticos de información tanto internos como aquellos que pudieran ser de interés a partes interesadas externas.
Definir las responsabilidades en materia de seguridad de la información generando la estructura organizativa correspondiente.
Elaborar un conjunto de reglas, estándares y procedimientos aplicables a los órganos de dirección, empleados, socios, proveedores de servicios externos, etc. Dichas políticas de seguridad y el cumplimiento de los estándares ISO 27001 serán de especial relevancia para clientes, proveedores y organizaciones externas y deberán ser comunicadas de manera oportuna. Por supuesto a nivel interno se hará una comunicación mayor del funcionamiento del SGSI y todas las políticas y normativas internas.
Especificar los efectos que conlleva el incumplimiento de la Política de Seguridad en el ámbito laboral, mediante formación continua y comunicación interna.
Evaluar de manera continua los riesgos que afectan a los activos con el objeto de adoptar las medidas/controles de seguridad oportunos.
Verificar el funcionamiento de las medidas y controles de seguridad mediante auditorías de seguridad internas realizadas por auditores independientes.
Formar a los usuarios en la gestión de la seguridad y en tecnologías de la información y las comunicaciones.
Controlar el tráfico de información y de datos a través de infraestructuras de comunicaciones o mediante el envío de soportes de datos ópticos, magnéticos, en papel, etc.
Observar la legislación en materia de protección de datos, propiedad intelectual, laboral, de servicios de la sociedad de la información, penal, etc., que afecte a los activos de Pandora FMS y su relación con partes interesadas externas.

Garantizar un servicio eficiente a nuestros clientes y otras partes interesadas externas con un alto nivel de calidad e integridad, preservando así su confianza.
Proteger el capital intelectual de la organización para que no se divulgue ni se utilice ilícitamente.
Obtener las evidencias que permitan acreditar los incidentes de seguridad y la identificación de su autor, tanto si es de índice externo (proveedores, clientes, usuarios) como internos a la compañía.
Reducir las posibilidades de indisponibilidad a través del uso adecuado de los activos de la organización, tanto internos como externos.
Defender los activos ante ataques internos o externos para que no se transformen en incidentes de seguridad.
Controlar el funcionamiento de las medidas de seguridad averiguando el número de incidencias, su naturaleza y efectos.

Marco normativo

Uno de los objetivos debe ser el de cumplir con requisitos legales aplicables y con cualesquiera otros requisitos que suscribimos además de los compromisos adquiridos con los clientes, así como la actualización continua de los mismos. Para ello, el marco legal y regulatorio en el que desarrollamos nuestras actividades es:

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual
Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y por el que se incorporan al ordenamiento jurídico español la Directiva 2014/26/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, y la Directiva (UE) 2017/1564 del Parlamento Europeo y del Consejo, de 13 de septiembre de 2017.
Real Decreto 311/2022, de 3 de mayo, de desarrollo del Esquema Nacional de Seguridad modificado por el Real Decreto 951/2015, de 23 de octubre.
Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI)
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Comité de Seguridad

El Comité de Seguridad es el órgano con mayor responsabilidad dentro del SGSI de forma que todas las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité.

Los miembros del Comité de Seguridad son:

Responsable de la Información
Responsable de los Servicios
Responsable de la Seguridad
Responsable de Sistemas.

En caso de conflicto entre los roles definidos en esta Política de Seguridad en relación con el cumplimiento y desarrollo de las funciones y tareas asignadas, la resolución será determinada por el superior jerárquico común, priorizando la decisión que garantice un mayor nivel de protección de datos personales. En ausencia de un superior jerárquico común, el Comité de Seguridad asumirá la resolución del conflicto.

Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisa regularmente:

Al menos una vez al año;
Cuando cambie la información manejada;
Cuando cambien los servicios prestados;
Cuando ocurra un incidente grave de seguridad;
Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Para la realización del análisis de riesgos se tendrá en cuenta la metodología de análisis de riesgos desarrollada en el procedimiento Análisis de Riesgos.

Seguridad por defecto

La seguridad de la información es un proceso integral y transversal que debe integrarse en todas las etapas del ciclo de vida de los sistemas de información y servicios, desde su creación hasta su retirada.

PANDORA FMS gestionará los cambios de los elementos físicos o lógicos del sistema mediante un proceso de autorización previa, con evaluación del impacto en la seguridad. Se realizarán revisiones periódicas de seguridad para evaluar el estado de los sistemas y gestionar el riesgo.

PANDORA FMS implementa medidas de seguridad para proteger la información, tanto almacenada como en tránsito, en entornos considerados inseguros. Estos entornos incluyen equipos portátiles, asistentes personales (PDA), dispositivos periféricos, soportes de información y comunicaciones que utilizan redes abiertas o cifrado débil.

PANDORA FMS establece medidas de protección de seguridad para la información, especialmente al conectarse a redes públicas. Se analizarán los riesgos de interconexión del sistema a través de redes.temas, y se controlará su punto de unión. Conexiones electrónicas disponibles para el público.

PANDORA FMS llevará un registro de las actividades de los usuarios y conservará la información necesaria para supervisar, analizar, investigar y documentar las actividades indebidas o no autorizadas, lo que permitirá identificar en todo momento a la persona que realiza la acción.

PANDORA FMS mediante su gestión de incidentes establece un sistema de detección, reacción y recuperación frente a incidentes, garantizando la continuidad del negocio, reduciendo el impacto y mejorando la seguridad mediante procedimientos de gestión, análisis, comunicación y registro.

Para asegurar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo, PANDORA FMS ha implementado medidas para que los sistemas dispongan de copias de seguridad y mecanismos de recuperación.

Protección de datos de carácter personal

Pandora FMS trata datos de carácter personal para finalidades previamente comunicadas a los afectados (sus titulares) y, en caso de necesidad, previamente consentidas por éstos en el momento de la recogida de los datos o con posterioridad.

En materia de protección de datos, los afectados tienen derechos de acceso, rectificación, limitación del tratamiento, portabilidad, oposición, supresión y otros (llamados derechos ARCO/ARLtPOS). Esto supone que cualquier persona física puede solicitar a Pandora FMS información acerca de qué datos se tienen de ellos, de dónde se han obtenido, qué se hace con ellos, para qué se usan y solicitar cambios en su uso. Ante el ejercicio de los derechos ARCO/ARLtPOS de cualquier afectado, el personal de Pandora FMS está obligado a comunicarlo inmediatamente al Delegado de Protección de Datos enviando un correo a [email protected]. Es de vital importancia hacerlo de inmediato pues existen rigurosos plazos legales para dar una respuesta.

Toda persona con acceso a los recursos de información o a los activos de información de Pandora FMS (tanto personal propio o subcontratado) debe leer, entender, conocer y aceptar la Política de Seguridad de la Información y la Política de Uso de Sistemas de Información al inicio de la relación laboral o mercantil con Pandora FMS y posteriormente sus modificaciones de forma anual.