Política de Seguridad
Política General de Seguridad de la Información
Celering depende de los sistemas de información para alcanzar sus objetivos, Estos sistemas deben ser administrados con
diligencia, tomando las medidas adecuadas, en función del riesgo, para protegerlos frente a daños accidentales o
deliberados que puedan afectar a la autenticidad, trazabilidad, integridad o confidencialidad de la información tratada o la disponibilidad de los servicios prestados.
El objetivo último de la seguridad de la información es garantizar que la entidad pueda cumplir con sus objetivos,
desarrollar sus funciones o competencias y prestar los servicios para la cual se ha sido constituida la calidad de la
información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la
confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Celering debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde
su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de
explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la
planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos donde se traten datos personales, se
adquieran servicios TIC o se presten servicios que afecten a los sistemas de información.
Descripción de la empresa
Celering es un grupo de empresas con sede social en Madrid formado por Celering Smart Mobility Services S.L.U. y
Celering Travel S.L.U.
Ambas compañías están centradas en el transporte por carretera desde dos perspectivas diferentes. Celering Smart es una
compañía tecnológica cque ha desarrollado una herramienta de gestión digitale y basadas en inteligencia artificial.
Celering Travel es una agencia de viajes que intermedia servicios de transporte utilizando la tecnología que de Celering
Smart bajo licencia SaaS.
El nombre Celering que se usará a partir de este momento integra ambas compañías aunque, en los puntos que así se
requiera, se indicarán como Celering Smart (CS) o Celering Travel (CT).
Las oficinas centrales está situadas en el centro de Madrid y es en ellas donde se desarrolla la actividad de ambas
sociedades, a lo largo de esta política resultará complicado diferenciarlas pues tiene muchos puntos en común que
denominaremos “ZONAS GRISES”, en lo referente a este sistema de gestión de la seguridad de la información como se
puede observar en el organigrama, CT puede integrarse como un departamento de CS aunque ambas son jurídicamente
independientes.
Celering Smart (CS) abarca a la mayoría del personal del grupo incluyendo:
– Tecnología
– Operaciones
– Finanzas
– Marketing
– Ventas
– Tecnologías de la información
Celering Travel (CT) tiene personal centrado en la gestión del tráfico:
– Director de tráfico
– Equipo de gestores de tráfico
Ambas sociedades se relacionan con dos contratos:
– CS provee a CT de su software en modelo SaaS
– CS provee a CT de todo el resto de servicio que necesita en un contrato de servicios.
La responsabilidad de la seguridad de la información se encuentra en el CiSO, director de seguridad de la información, este
perfil queda fuera del organigrama general con, reporta de forma directa al director general del grupo y realiza la gestión
de la seguridad de la información de forma transversal a ambas sociedades
Misión
Los objetivos en materia de seguridad que Celering pretende garantizar con la presente Política serán:
– Garantizar la confidencialidad, integridad, autenticidad de la información y la continuidad en la prestación de los
servicios.
– Implementar medidas de seguridad en función del riesgo.
– Formar y concienciar a los integrantes de Celering respecto a la seguridad de la información.
-Implementar medidas de seguridad que permitan la trazabilidad de los accesos y respetar, entre otros, el principio
de mínimo privilegio, reforzando también el deber de confidencialidad de las personas usuarias en relación con la
información que conocen en el desempeño de sus funciones.
– Desplegar y controlar la seguridad física haciendo que los activos de información se encuentren en áreas
seguras, protegidos por controles de acceso, atendiendo a los riesgos detectados.
– Establecer la seguridad en la gestión de comunicaciones mediante los procedimientos necesarios, logrando que la
información que sea transmita a través de redes de comunicaciones sea adecuadamente protegida.
– Controlar la adquisición, desarrollo y mantenimiento de los sistemas de información en todas las fases del ciclo de
vida de los sistemas de información, garantizando su seguridad por defecto.
– Controlar el cumplimiento de las medidas de seguridad en la prestación de los servicios, manteniendo el control
en la adquisición e incorporación de nuevos componentes del sistema.
– Gestionar los incidentes de seguridad para la correcta detección, contención, mitigación y resolución de estos,
adoptando las medidas necesarias para que los mismos no vuelvan a reproducirse.
– Proteger la información personal, adoptando las medidas técnicas y organizativas en atención a los riesgos
derivados del tratamiento conforme a la legislación en materia de protección de datos.
– Supervisar de forma continuada el sistema de gestión de la seguridad, mejorando y corrigiendo las ineficiencias
detectadas.
Principios rectores
Alcance estratégico: la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles
de la entidad y deberá coordinarse e integrarse con el resto de las iniciativas estratégicas de forma coherente
Seguridad integral: la seguridad se entenderá como un proceso integral constituido por todos los elementos
técnicos, humanos, materiales y organizativos, relacionados con los sistemas de la información, procurando evitar
cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como
parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas TIC.
Gestión de la seguridad basada en el riesgo: la gestión de la seguridad basada en los riesgos identificados
permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. Las
medidas de seguridad se establecerán en función de los riesgos a que esté sujeta la información y sus sistemas. y
serán proporcionales al riesgo que tratan, debiendo estar justificadas. Se tendrán también en cuenta los riesgos
identificados en el tratamiento de datos personales.
Prevención, detección, respuesta y conservación con la implementación de acciones preventivas de incidentes,
minimizando las vulnerabilidades detectadas, evitando la materialización de las amenazas y, cuando estas se
produzcan, danto una respuesta ágil para restaurar la información o servicios prestados, garantizando una
conservación segura de la información.
Existencia de líneas de defensa, la estrategia de seguridad de la entidad se diseña e implementa en capas de
seguridad.
Vigilancia continua y reevaluación periódica: la entidad implementa medios la detección y respuesta a
actividades o comportamientos anómalos. Además, de otros que permitan una evaluación continuada del estado
de seguridad de los activos, Existirá, también, un proceso de mejora continua para la revisión y actualización de
las medidas de seguridad, de manera periódica, conforme a su eficacia y la evolución de los riesgos y sistemas
de protección.
Seguridad por defecto y desde el diseño: los sistemas deben estar diseñados y configurados para garantizar la
seguridad por defecto. Los sistemas proporcionarán la funcionalidad mínima necesaria para prestar el servicio
para el que fueron diseñados.
Diferenciación de responsabilidades, en aplicación de este principio las funciones del Responsable de la
Seguridad y del Responsable del Sistema estarán diferenciadas.
Marco legal regulatorio en el que se desarrollan las actividades
El grupo Celering se encuentra bajo diferentes marcos regulatorios incluyendo mercantil, contratos, A.E.A.T., seguridad
social, código civil y penal, consultoría, estatuto de los trabajadores, convenios colectivos, reglamentos de agencia de
viajes, de transporte y otros relacionados. En el marco de la ciberseguridad se tomarán con especial atención las
siguientes regulaciones:
– Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
– Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
RGPD (Reglamento UE 2016/679).
– Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, sobre un
mercado único de servicios digitales
– Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Directiva (UE) 2022/2555 Del Parlamento Europeo y del consejo de 14 de diciembre de 2022 relativa a las
medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (cuyo texto
traspuesto a la legislación española esta pendiente)
Legislación sobre transporte y movilidad
– Ley 16/1987, de Ordenación de los Transportes Terrestres (LOTT)
Aplica si gestionáis flotas o subcontratáis servicios de transporte. Regula autorizaciones, condiciones de
los vehículos, etc.
– R.D. 1211/1990, Reglamento que desarrolla la LOTT.
Normativa autonómica:
– Ley 1/1999, de Ordenación del Turismo de Madrid.
Normativa sobre transporte laboral y de trabajadores
– Si el transporte es para empleados (ej. rutas de empresa), podría aplicarse la Ley de Prevención de
Riesgos Laborales (Ley 31/1995) y normativa sobre transporte colectivo privado.
Normativa laboral relacionada
– Estatuto de los Trabajadores: En cuanto a condiciones laborales, registro horario, descansos.
– Convenios colectivos del sector del transporte (si aplica a vuestros conductores).
– Ley 31/1995 de Prevención de Riesgos Laborales: Especial atención si hay conducción regular.
Estas regulaciones concretas están plasmadas en los documentos de uno general como esta política, normativas internas y
formaciones de obligada asistencia que forman parte del proceso de entrada en Celering como trabajador.
En relación al control de la regulación en Celering existen perfiles internos especializados (se detallan más adelante) en
cuyas responsabilidades se incluye el seguimiento y actualización de la normativa.
De forma adicional existe en Celering un repositorio de información legal, actualizada y accesible a toda la compañía bajo
el nombre de “compliance” (también se detallará de forma posterior).
Roles, funciones de seguridad y estructura de la dirección de coordinación de la
seguridad
En Celering la responsabilidad sobre la seguridad de la información descansa sobre responsable de ciberseguridad y
cumplimiento (CiSO) que responde de forma directa ante el CEO y se apoya en el comité de ciberseguridad,
constiuido el 01/01/2024.
El comité es un órgano consultivo para gestionar y coordinar los asuntos de ciberseguridad. Está compuesto por el
responsable de infraestructura interna (CIO), de operaciones (COO), de data (CDO), de tecnología (CTO) y el delegado de
protección de datos (DPD).
Existe un documento de adhesión al comité de ciberseguridad donde quedan reflejados los derechos y responsabilidades
de cada integrante, este documento se firma en la fecha de alta de cada miembro.
La actividad del comité se registra en el acta de la sesión, los asistentes, los temas tratados, las decisiones adoptadas y las
acciones a realizar. También se registran las altas y bajas de miembros del comité en su caso. El comité decide en base al
modelo «unanimity minus one»
[1] de forma que pueden salir adelante iniciativas siempre y cuando haya una única
discrepancia; que quedará reflejada en el acta de la sesión, anotando qué integrante del comité ha discrepado y su
razonamiento si así lo desea.
Cada decisión relevante del comité de ciberseguridad deberá pasar por el comité de dirección de la compañía y obtener su
aprobación para implantar las medidas pertinentes. El DPD solamente asesora, pero no ostenta derecho a voto ya que sería
incompatible con sus funciones.
El responsable de ciberseguridad y cumplimiento (CiSO) es un cargo de confianza designado por el comité de dirección de
Celering, debe tener encaje técnico, capacidad de gestión y un profundo conocimiento de la compañía. Es responsable de
conocer los reglamentos de obligado cumplimiento referentes a la seguridad de la información y aplicar las políticas que
garanticen ese cumplimiento. Debe ser un cargo con recorrido en Celering y con perspectiva de largo plazo. Su rendimiento
será evaluado en función de los hitos de ciberseguridad alcanzados. Existen un programa de hitos que Celering quiere
conseguir a corto, medio y largo plazo.
– Diseño e implantación del primer plan de ciberseguridad de Celering
– Adecuación al Esquema Nacional de Seguridad
– Adecuación a ISO/IEC 27001
– Certificación ISO/IEC 27001
El Delegado de Protección de Datos (DPD) es la persona que, de forma independiente, debe – en relación al Reglamento
General de Protección de Datos – informar, asesorar, supervisar el cumplimiento, formar al personal y mediar entro la
Agencia Española de Protección de Datos y Celering. Debe constar en el registro de DPD de la AEPD. Asimismo, tiene que
mantener a la compañía informada sobre modificaciones o novedades en la legislación, es por eso que el DPD dispone de
un asesoramiento legal continuo para el ejercicio de sus funciones.
El responsable de infraestructura interna (CIO) es la persona que gestiona e implanta la infraestructura de la información y
el puesto de trabajo con la consiguiente carga de implantación de la ciberseguridad. Su trabajo y opinión son críticas para
el comité y la coordinación con el mismo es indispensable para el funcionamiento de la compañía.
El responsable de operaciones (COO) es la persona que ejecuta las implantaciones de nuestro sistema SaaS en los
clientes. Cada implantación presenta retos de ciberseguridad que deben ser analizados en coordinación con el comité.
El responsable de data (CDO) determina la ingeniería de datos, la gobernanza y la explotación de los mismos. Existen
riesgos notables en su gestión además de territorios comunes (gobernanza) donde debe haber mucha coordinación con el
CiSO y la supervisión del DPD.
El responsable de tecnología (CTO) dirige el equipo de desarrollo por lo que existen puntos críticos de ciberseguridad
internos y externos. Internamente ejecutan trabajos de diseño, arquitectura y desarrollo en cuyo resultado se soporta gran
parte de la reputación de Celering a nivel de ciberseguridad. Por otra parte su trabajo tiene impacto sobre el cliente lo que
supone un riesgo adicional. Por eso CTO es un perfil clave en el comité de ciberseguridad
Tratamiento de datos datos de carácter personal
El análisis de riesgos será reevaluado de forma periódica, contando con el asesoramiento y supervisión que realice el
Delegado de Protección de Datos, y, en todo caso, cuando se detecte un tratamiento de alto riesgo, debiendo realizar, en su
caso, una evaluación de impacto. La implementación del plan de tratamiento del riesgo se coordinará con el del ENS, así
como el resto de los procedimientos o normas de seguridad con las derivadas de las obligaciones en materia de protección
de datos, especialmente en el control de los prestadores de servicios o la respuesta a incidentes y/o brechas de datos
personales.
Gestión de Riesgos
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a
los que están expuestos. Este análisis se repetirá:
– Regularmente, al menos una vez al año.
– Cuando se produzcan cambios en la información manejada.
– Cuando se produzcan cambios en los servicios prestados.
– Cuando ocurra un incidente grave de seguridad.
– Cuando se reporten vulnerabilidades graves.
– Cuando se produzcan modificaciones en el análisis de riesgos de protección de datos o en las evaluaciones de
impacto.
Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de
referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad
dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas,
promoviendo inversiones de carácter horizontal. Se tendrán en cuenta los riesgos en protección de datos, contando con la
opinión del Delegado de Protección de Datos, además se coordinarán los planes del tratamiento del riesgo.
Obligaciones del personal
Todos los miembros de Celering tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y
las normas, procedimientos o guías que la desarrollen, siendo responsabilidad de la a través del Comité de Seguridad y del
área de personal de disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de Celering atenderán a una sesión de concienciación en materia de seguridad de la información al
menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de
celeriong, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el
manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria
antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de
responsabilidades en el mismo.
Terceras partes
Cuando Celering preste servicios a otras entidades o maneje información de otras, se les hará partícipes de esta Política de
Seguridad de la Información, sin perjuicio de respetar las obligaciones de la normativa de protección de datos si actúa
como encargado del tratamiento en la prestación de los citados servicios, y se establecerán canales para reporte y
coordinación de los respectivos Comités de Seguridad y procedimientos de actuación para la reacción ante incidentes de
seguridad. Además, el Responsable de Seguridad (o persona en quien delegue) será el Punto de Contacto (POC).
Cuando Celering utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de
Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información, sin perjuicio del cumplimiento de
otras obligaciones en materia de protección de datos. En la contratación de prestadores de servicios o adquisición de
productos se tendrá en cuenta la obligación del adjudicatario de cumplir con el ENS.
En la adquisición de derechos de uso de activos en la nube tendrá en cuenta los requisitos establecidos en las medidas de
seguridad del Anexo II y las Guía de desarrollo.
Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios
procedimientos operativos para satisfacerla, de modo que Celering pueda supervisarlos o solicitar evidencias del
cumplimiento de estos, incluso auditorías de segunda o tercera parte. Se establecerán procedimientos específicos de
reporte y resolución de incidencias que deberán ser canalizadas por el POC de los terceros implicados y, además, cuando
se afecte a datos personales por el Delegado de Protección de Datos. Los terceros garantizarán que su personal está
adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política o el que
específicamente se pueda exigir en el contrato.
Cuando algún aspecto de la Política no pueda ser satisfecho por un tercero según se requiere en los párrafos anteriores, el
Responsable de la Seguridad emitirá un informe que precise los riesgos en que se incurre y la forma de tratarlos. Se
requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes del inicio de
la contratación o, en su caso, de la adjudicación. El informe se trasladará al representante de la entidad que deberá
autorizar la continuación con la tramitación de contratación del tercero, asumiendo los riesgos detectados.
Cuando la entidad adquiera, desarrolle o implante un sistema de Inteligencia Artificial, además de cumplir con lo
establecido en la normativa vigente en la materia, deberá contar con el informe del Responsable de la Seguridad, que
consultará al Responsable de la Información y del Servicio y, cuando sea necesario, al del Sistema, debiendo también el
Delegado de Protección de Datos emitir su parecer.
Estructura de la documentación de seguridad del sistema, su gestión y acceso
Celering dispone de un repositorio de información de ciberseguridad donde se alojan todos los documentos relacionados y
jerarquizados para que cada usuario de la compañía acceda solo a la información necesaria.
Es responsabilidad de CiSO coordinar la elaboración de la documentación y del comité de ciberseguridad la aprobación de
los contenidos cuando estos sean de relevancia.
La documentación de seguridad de Celering está estructurada de la siguiente forma:
– Política general de ciberseguridad (este documento).
– Marco legal
– Reglamentos internos de ciberseguridad
Políticas
Normativas
Procedimientos
Los reglamentos de seguridad son documentos que informan al personal de Celering cuales son las reglas de uso de los
equipos y de la información de Celering. Estos reglamentos definen de forma clara el mal uso e informan de las
consecuencias de los incumplimientos. Existen varios reglamentos según los perfiles de uso de datos: administrador,
propietario y usuario.
– Guías técnicas de ciberseguridad
Las guías técnicas de ciberseguridad son documentos informativos de carácter técnico cuyo objetivo es informar o
actualizar información con el objetivo de aplicación en el sistema.
– Canales de información de ciberseguridad
Se trata de un canal público de información a toda la compañía de novedades relacionadas con la ciberseguridad. Este
canal tiene un doble objetivo informativo: las novedades y la formación ligera.
Clasificación de la información en Celering
Toda información que se trate con los sistemas de Celering tendrá la siguiente clasificación:
– Información pública: contiene todos aquellos documentos que Celering ha hecho públicos de forma expresa y
pueden ser visualizados por cualquier persona sea o no de Celering.
– Información privada: cualquier documento corporativo de Celering que no haya sido publicado expresamente.
– Información confidencial: documentos con información sensible cuyo acceso está limitado sólo a algunos
grupos internos, quedará etiquetada como ”confidencial” o “confidential”.
– Información de alto secreto: documentos con acceso muy limitado, con información sensible, clasificado por el
comité de dirección.
Esta clasificación se define bajo la siguiente jerarquía:
– El comité de dirección: es el responsable último de la información, puede clasificarla a su discreción.
– El director de departamento: es responsable de la información que maneja su equipo, debe determinar su
clasificación, etiquetado además de protegerla de forma diligente.
– El usuario con acceso legítimo: es responsable de la información a la que tiene acceso, debe portegerla de forma
diligente
– Cualquier usuario (interno o externo) de la compañía: debe proteger cualquier información a la que tenga acceso
esté autorizado o no, notificando al departamento de ciberseguridad en cuanto tenga conocimiento.
Acceso a la información
El acceso a la información claisificada como privada, confidencial o de alto secreto NO SE PODRÁ ENVIAR POR NINGÚN
MEDIO será obligatoriamente compartida con el interesad@ desde los sistemas de Celering de forma directa:
– A través de una cuenta corporativa de Celering
– A través de una cuenta de invitado de Celering.
La información en Celering está encapsulada en diferentes bloques de acceso que se pueden otorgar de forma
personalizada a cada usuario bien sea interno o externo en base a dos criterios primarios:
– Mínimo privilegio: el acceso se provee en función de la necesidad del puesto en cada momento, minimizando la
información a la estrictamente enecesaria.
– Permisos basados en roles: se crean diferentes roles con permisos prefijados a cada actividad para tener mejor
control sobre el nivel de accesod e cada usuario.
Responsabilidad:
El responsable (director de departamento) de la información será quien determine los usuarios que podrán acceder bajo su
responsabilidad en los casos de información corporativa y/o confidencial. En el caso de información con clasifiación de
alto secreto tendrá que solicitar autorización al comité de dirección, en su defecto el director general podrá autorizarlo bajo
su responsabilidad.
Gestión de Incidentes de Seguridad
La Gestión de Incidentes de Seguridad tiene el objetivo es detectar, responder, contener y recuperar eventos que puedan
comprometer la confidencialidad, integridad o disponibilidad de los activos de información, minimizando su impacto y
evitando su recurrencia.
En cumplimiento con el ENS (Artículo 13 y Anexo II), esta política establece un marco estructurado para la identificación,
clasificación, notificación y resolución de incidentes, asegurando una respuesta ágil y coordinada entre los responsables
designados. Asimismo, se alinea con estándares como ISO/IEC 27035 y las directrices del CERT de Seguridad e Industria
(CERTSI) para garantizar la resiliencia de los sistemas y servicios.
Los principios básicos que rigen este proceso son:
1. Preparación proactiva: Mantener procedimientos, recursos y roles definidos (ej. Equipo de Respuesta a
Incidentes).
2. Detección temprana: Monitorizar eventos mediante herramientas técnicas y mecanismos de reporting.
3. Contención efectiva: Limitar el alcance del incidente para reducir daños.
4. Mejora continua: Documentar lecciones aprendidas y actualizar controles.
Esta política aplica a todo el personal, proveedores y terceros con acceso a los sistemas de información cubiertos por el
ENS, siendo responsabilidad de la Dirección asegurar su cumplimiento.
Clasificación de los incidentes de seguridad
Crítico:
– Compromiso de sistemas críticos (ej. infraestructuras clave).
– Pérdida masiva de datos confidenciales (RGPD/ENS).
– Interrupción prolongada de servicios esenciales.
Alto:
– Acceso no autorizado a sistemas con datos sensibles.
– Denegación de servicio (DoS) afectando operaciones.
Medio:
– Incidentes con impacto limitado (ej. infección por malware no propagado).
– Vulnerabilidades explotadas sin impacto inmediato.
Bajo:
– Intentos de acceso fallidos sin consecuencias.
– Alertas falsas o eventos sin relevancia.
Roles en la gestión de incidentes de seguridad de la información
En caso de incidente la coordinación del mismo será realizada por el responsable de seguridad CiSO.
Política de Gestión de Contraseñas
La organización establece las siguientes directrices para la gestión de contraseñas por parte del personal:
1. Uso individual y confidencial
Las credenciales de autenticación, en particular las contraseñas, son de uso personal e intransferible. El usuario
es responsable de su custodia y uso, quedando prohibida su cesión, compartición o almacenamiento en lugares
inseguros.
2. Requisitos mínimos de robustez
Las contraseñas deberán cumplir los siguientes criterios mínimos:
– Longitud mínima de 10 caracteres.
– Incluir al menos tres de los siguientes: mayúsculas, minúsculas, números, símbolos.
– No contener datos personales evidentes (nombre, DNI, fechas de nacimiento, etc.).
– No formar parte de listas conocidas de contraseñas comprometidas.
3. Periodicidad de cambio y expiración
– Las contraseñas se deberán cambiar cada 180 días como máximo, o antes si existe sospecha de
compromiso.
– No se podrá reutilizar ninguna de las cinco últimas contraseñas.
4. Protección frente a intentos no autorizados
– Se bloqueará automáticamente la cuenta tras un número máximo de intentos fallidos consecutivos.
– El desbloqueo requerirá intervención de personal autorizado y registro del incidente.
5. Autenticación multifactor (MFA)
Todos los accesos a sistemas corporativos, aplicaciones críticas o datos clasificados como medio o alto
deben realizarse mediante autenticación multifactor. Este mecanismo combina:
– Una contraseña o secreto conocido (primer factor), y
– Un segundo factor de autenticación basado en dispositivo físico (ej. token, smartphone, llave
FIDO2, etc.) o biometría, según el caso.
– El segundo factor (por ejemplo, un dispositivo móvil con app de autenticación o una llave
física) es asignado y registrado individualmente.
– Su pérdida, robo o mal funcionamiento debe ser comunicado inmediatamente al área de
ciberseguridad o soporte para su revocación y sustitución.
– El dispositivo debe estar protegido por código, biometría o equivalentes y no debe
compartirse ni dejarse sin custodia.
6. Accesos y bloqueo
– Tras varios intentos fallidos consecutivos (configurados según criticidad del sistema), el sistema debe
bloquear el acceso.
– Cualquier intento anómalo de autenticación será registrado, notificado y, en su caso, gestionado como
incidente de seguridad.
7. Formación y concienciación
– Todo el personal debe recibir formación sobre el uso seguro de contraseñas y factores de autenticación,
conforme al artículo 15 del ENS (Gestión de personal) y medida 26 (Concienciación y formación).
Aprobación de la política y entrada en vigor
Las modificaciones de la presente Política que supongan cambios o adaptaciones ante ineficiencias las realizará el Comité
de Seguridad de la Información, que deberá revisarla anualmente.
En caso de que los cambios supongan una modificación sustancial o de los principios o responsabilidades designadas, el
Comité de Seguridad propondrá los cambios que deberán ser aprobados, en su caso, por la persona u órgano con las
debidas competencias.
La sustitución de la Política será instada por el Comité de Seguridad de la Información y ratificada por la persona u órgano
con las debidas competencias, de lo que se informará adecuadamente a los interesados por los mismos canales usados
para su difusión.
Texto aprobado el día 25 de Mayo de 2025 por el Comité de Ciberseguridad. Esta Política se Seguridad de la Información
está vigente desde la fecha de aprobación y hasta que sea reemplazada por una nueva Política.
Esta política queda aprobada por el Director general, José María Campos, en Madrid el día 25 de Junio de 2025