Cláusula informativa

Responsable: SETESUR, S.L. Finalidad: Enviarle comunicaciones por medios electrónicos si acepta dicha finalidad. Derechos: Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional. Información adicional: Puede consultar la información adicional en el siguiente enlace.

Política de seguridad

1. OBJETO

El objeto del presente documento es la definición de la Política de Seguridad de la Información de SETESUR, dentro del alcance señalado en el Esquema Nacional de Seguridad, el Reglamento General Europeo de Protección de Datos y la Ley Orgánica de Protección de Datos de Carácter Personal.

Se ha implantado la presente Política atendiendo al nivel de seguridad de la información y los servicios prestados, y la categoría de los sistemas de SETESUR que resulten de la aplicación de las previsiones contempladas en los Anexos I y II del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica (ENS).

2. MISIÓN

SETESUR, para la gestión de sus intereses y de las funciones y competencias que tiene encomendadas, promueve actividades y presta servicios que contribuyen a satisfacer las necesidades y expectativas de todos los grupos de interés, potenciando por otro lado el uso de las nuevas tecnologías.

Los principales objetivos que se persiguen son, entre otros, los siguientes:

Asegurar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información tratada.
Crear la confianza necesaria entre las partes interesadas para el uso de nuevas tecnologías.
Reconocer la importancia de identificar y proteger sus activos de información, evitando la destrucción, la divulgación, modificación y utilización no autorizada de toda la información de interés.
Evitar que la información o los servicios se vean perjudicados por incidentes de seguridad.
Analizar la vulnerabilidad de la información y preparar una respuesta efectiva a los incidentes en seguridad de la información para garantizar la continuidad de los servicios prestados.
Incluir los requisitos de seguridad de la información pertinentes en las ofertas y contratos correspondientes.
Cumplir con los requisitos legales y otros requisitos de aplicación.
Formar y concienciar al personal en seguridad de la información.
Disponer de un conjunto de controles de aseguramiento y refuerzo de la seguridad.
Gestionar adecuadamente todas las incidencias que puedan ocurrir.

3. ÁMBITO DE APLICACIÓN

Esta Política es de aplicación a todo el ámbito de actuación de SETESUR, y sus contenidos traen causa de las directrices de carácter más general definidas en el ordenamiento jurídico vigente, en la Política de Seguridad de la Información y en las Normas de Seguridad de SETESUR.

La presente Política es de aplicación y de obligado cumplimiento para todo el personal que, de manera permanente o eventual, preste sus servicios en SETESUR, especialmente, los responsables de los Servicios de Explotación de los Sistemas de Información y los propios usuarios, como actores ambos, incluyendo, en su caso, el personal de proveedores externos, cuando proceda y sean usuarios de los Sistemas de Información de SETESUR.

En el ámbito de la presente Política, se entiende por usuario cualquier empleado perteneciente o ajeno a SETESUR, así como personal de organizaciones privadas externas, entidades colaboradoras o cualquier otro con algún tipo de vinculación con SETESUR y que utilice o posea acceso a sus Sistemas de Información.

4. REFERENCIAS

Las referencias que se han tenido en cuenta para la redacción de este documento han sido incluidas en el documento RES.18.01 “Listado de requisitos legales y Normativa Aplicable SETESUR.

5. PRINCIPIOS Y DIRECTRICES

Los principios y directrices que deben de contemplarse en SETESUR, a la hora de garantizar la seguridad de la información, y que deben orientar el diseño y desarrollo de sistemas y tecnologías que traten datos de carácter personal, son los siguientes:

Seguridad como proceso integral.
Gestión de la seguridad basada en los riesgos.
Prevención, detección, respuesta y conservación.
Existencia de líneas de defensa.
Vigilancia continua y reevaluación periódica.
Diferenciación de responsabilidades.

Estos principios, se desarrollarán aplicando los siguientes requisitos mínimos:

A) Organización e implantación del proceso de seguridad.	B) Análisis y gestión de los riesgos.
C) Gestión de personal.	D) Profesionalidad.
E) Autorización y control de accesos.	F) Protección de instalaciones.
G) Adquisición de productos de seguridad y contratación de servicios de seguridad.	H) Mínimo privilegio.
I) Privacidad desde el diseño.	J) Seguridad de extremo a extremo.
K) Respeto por la privacidad de los usuarios.	L) Visibilidad y transparencia.
M) Integridad y actualización del sistema.	N) Protección de la información almacenada y en tránsito.
O) Prevención ante otros sistemas de información interconectados.	P) Registro de actividad y detección de código dañino.
Q) Incidentes de seguridad.	R) Continuidad de la actividad.
S) Mejora continua del proceso de seguridad.

6. ACTUALIZACIÓN DEL DOCUMENTO

Cuando se produzca un cambio significativo en la estructura o en la operativa de SETESUR que afecte a esta Política, deberá producirse una modificación y actualización del mismo.

Los cambios y modificaciones identificados serán incluidos en una nueva versión del documento, así como en el apartado de histórico de modificaciones, como evidencia del proceso de actualización realizado y para mantener la trazabilidad entre distintas versiones.

Será el Responsable de Seguridad de la Información la persona encargada de la custodia y divulgación de la versión aprobada de este documento.

7. ROLES Y RESPONSABILIDADES

7.1. Roles de seguridad de la Información

Los Roles y Responsabilidades fundamentales en la Seguridad de la Información de SETESUR son los siguientes:

● RESPONSABLE DE LA INFORMACIÓN / RESPONSABLE SGSI

Esta figura la ejercerá la persona que ocupa el puesto de Responsable de desarrollo de negocio. Tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección. Asesorará y tendrá potestad para determinar técnicamente los requisitos de la información y de los servicios en materia de seguridad. Tendrá la potestad, igualmente, de determinar los niveles de seguridad de la información.

Así mismo informará sobre el estado de la seguridad en el área de los sistemas de la información y comunicación. Podrá convocar las reuniones, remitir información y comunicados a los miembros de la comisión.

Funciones asociadas

Sus funciones serán las siguientes:

Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.
El Responsable de la Información es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
Establece los requisitos de la información en materia de seguridad. En el marco del ENS, equivale a la potestad de determinar los niveles de seguridad de la información.
Determinará los niveles de seguridad en cada dimensión dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad.
Aunque la aprobación formal de los niveles corresponda al Responsable de la Información, podrá recabar una propuesta al Responsable de la Seguridad y conviene que escuche la opinión del Responsable del Sistema.

● RESPONSABLE DEL SERVICIO / RESPONSABLE DEL TRATAMIENTO / RESPONSABLE DE PROTECCIÓN DE DATOS

Esta figura la ejercerá la persona que ocupa el puesto de Responsable de Operaciones. Será la persona o personas responsables de la explotación de las distintas áreas de la entidad estableciendo requisitos, fines y medios para la realización de dichas tareas. Determinará los requisitos de seguridad de los servicios prestados. Esto incluye la responsabilidad de determinar los niveles de seguridad de los servicios y para ello, podrá recabar asesoramiento del responsable de seguridad y del responsable del sistema.

Incluirá las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control. Tendrá, además, la misión de valorar las consecuencias de un impacto negativo sobre la seguridad de los servicios, teniendo en consideración la repercusión en la capacidad de Innovasur para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los usuarios.

Además, tendrán la obligación de vigilar el cumplimiento de las normas de seguridad dentro de su área e informar al Responsable de la Información del cumplimiento de la normativa de seguridad aprobada por el Comité de Seguridad.

Funciones asociadas

Sus funciones serán las siguientes:

Establecer requisitos de seguridad: Determina los requisitos de disponibilidad y seguridad para los servicios prestados por la organización.
Trabajar con continuidad del negocio: Colabora en planes de recuperación y copias de seguridad para mantener la continuidad del negocio.
Supervisar y desarrollar políticas de seguridad: Supervisa la efectividad de las políticas de seguridad y normativas, y realiza controles periódicos.
Elaborar documentos: Elabora el documento de Declaración de Aplicabilidad de medidas de seguridad y remite notificaciones de incidencias adversas a la autoridad competente.

Estas funciones son esenciales para garantizar que los servicios prestados por la organización cumplan con los requisitos de seguridad establecidos por el ENS y la normativa vigente.

● RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN / SECRETARIO DEL COMITÉ

Esta figura la ejercerá la persona que ocupa el puesto de Coordinador de proyectos e Innovación. La figura del aparece con un papel muy similar como persona que vela para que los sistemas de información efectivamente respondan a los requisitos establecidos. Las organizaciones harán bien en hacer coincidir estas responsabilidades en una única figura, recopilando todas las funciones en la Política de Seguridad”

Funciones asociadas

Sus funciones serán las siguientes:

Coordinará y controlará las medidas definidas en el Documento de Seguridad y en general se encargará del cumplimiento de las medidas de seguridad que detalla el reglamento de desarrollo de la LOPD.
Reportará directamente al Comité de Seguridad de la Información.
Actuará como Secretario del Comité de Seguridad de la Información. Podrá delegar esta función en el Responsable de Administración.
Convocará al Comité de Seguridad de la Información, recopilando la información pertinente.
Mantendrá la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Organización.
Promoverá la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
Recopilará los requisitos de seguridad de los Responsables de Información y Servicio y determinará la categoría del Sistema.
Realizará el Análisis de Riesgos.
Elaborará una Declaración de Aplicabilidad a partir de las medidas de seguridad requeridas conforme al Anexo II del ENS y del resultado del Análisis de Riesgos.
Facilitará a los Responsable de Información y a los Responsables de Servicio información sobre el nivel de riesgo residual esperado tras implementar las opciones de tratamiento seleccionadas en el análisis de riesgos y las medidas de seguridad requeridas por el ENS.
Coordinará la elaboración de la Documentación de Seguridad del Sistema.
Participará en la elaboración, en el marco del Comité de Seguridad de la Información, la Política de Seguridad de la Información, para su aprobación por Dirección.
Participará en la elaboración y aprobación, en el marco del Comité de Seguridad de la Información, de la normativa de Seguridad de la Información.
Elaborará y aprobará los Procedimientos Operativos de Seguridad de la Información.
Facilitará periódicamente al Comité de Seguridad un resumen de actuaciones en materia de seguridad, de incidentes relativos a seguridad de la información y del estado de la seguridad del sistema (en particular del nivel de riesgo residual al que está expuesto el sistema).
Elaborará, junto a los Responsables de Sistemas, Planes de Mejora de la Seguridad, para su aprobación por el Comité de Seguridad de la Información.
Elaborará los Planes de Formación y Concienciación del personal en Seguridad de la Información, que deberán ser aprobados por el Comité de Seguridad de la Información.
Validará los Planes de Continuidad de Sistemas que elabore el Responsable de Sistemas, que deberán ser aprobados por el Comité de Seguridad de la Información y probados periódicamente por el Responsable de Sistemas.
Aprobará las directrices propuestas por los Responsables de Sistemas para considerar la Seguridad de la Información durante todo el ciclo de vida de los activos y procesos: especificación, arquitectura, desarrollo, operación y cambios.

● RESPONSABLE DEL SISTEMA

El responsable del sistema es la persona que se encarga de la explotación del sistema de información. Corresponde al nivel de una Dirección Operativa.Estas funciones de Responsable del Sistema sean asumidas por el Técnico de Sistemas Dpto técnico.

Funciones asociadas

Sus funciones serán las siguientes:

Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los Responsables de la Información afectada, del Servicio afectado y con el Responsable de la Seguridad antes de ser ejecutada.
Aplicar los procedimientos operativos de seguridad elaborados y aprobados por el Responsable de Seguridad.
Monitorizar el estado de la seguridad del Sistema de Información y reportarlo periódicamente o ante incidentes de seguridad relevantes al Responsable de Seguridad de la Información.
Elaborar los Planes de Continuidad del Sistema para que sean validados por el Responsable de Seguridad de la Información, y coordinados y aprobados por el Comité de Seguridad de la Información.
Realizar ejercicios y pruebas periódicas de los Planes de Continuidad del Sistema para mantenerlos actualizados y verificar que son efectivos.
Elaborará las directrices para considerar la Seguridad de la Información durante todo el ciclo de vida de los activos y procesos (especificación, arquitectura, desarrollo, operación y cambios) y las facilitará al Responsable de Seguridad de la Información para su aprobación.

● DELEGADO DE PROTECCIÓN DE DATOS (DPO)

Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros. Será nombrado el responsable de operaciones.

El delegado de protección de datos tendrá como mínimo las siguientes funciones (contempladas en el art. 39 del Reglamento General de Protección de Datos.):

Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.
Cooperar con la autoridad de control.
Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

7.2. Comité de Seguridad

Las políticas y roles de seguridad de protección de datos residen en el Comité de Seguridad de la Información, el cual estará constituido por los siguientes cargos y personas:

Responsable de la Información / Responsable SGSI
Responsable del Servicio / Responsable del tratamiento / Delegado de Protección de Datos
Responsable de Seguridad de la Información / Secretario del Comité
Responsable del Sistema

Sus funciones serán las siguientes:

Atender las inquietudes de la Alta Dirección y de los diferentes departamentos.
Informar regularmente del estado de la seguridad de la información a la Alta Dirección.
Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.
Elaborar la estrategia de evolución de la Organización en lo que respecta a la seguridad de la información.
Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
Elaborar (y revisar regularmente) la Política de Seguridad de la información para que sea aprobada por la Dirección.
Aprobar la normativa de seguridad de la información.
Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.
Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones respecto de ellos.
Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.

En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.

Promover la realización de auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
Aprobar planes de mejora de la seguridad de la información de la Organización. En particular, velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
Velar para que la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la Organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

Funciones de las Responsabilidades asociadas al ENS

A continuación, se detallan y se establecen las funciones y responsabilidades de cada una de las figuras:

La persona Responsable del Servicio, determina los requisitos de seguridad de los servicios prestados dentro del marco establecido en el anexo I del Real Decreto 311/2022, de 3 de mayo, previa propuesta del Responsable de Seguridad. Los Responsables de los Servicios, serán los responsables de cada área afectada por el ENS, y por lo tanto, se encargarán de velar por el cumplimiento del ENS en sus respectivas áreas.
El Responsable de la Información, determina los requisitos de seguridad de la información dentro del marco establecido en el anexo I del Real Decreto 311/2022, de 3 de mayo, previa propuesta del Responsable de Seguridad ENS.
El Responsable de Seguridad de la Información, su función es planificar lo que se ha de hacer en materia de seguridad, así como supervisar que se haya hecho.
El Responsable del Sistema, es el encargado de las operaciones del sistema.

Funciones del Comité de Seguridad de la Información

El Comité de Seguridad tendrá las siguientes funciones:

Atender las inquietudes, en materia de Seguridad de la Información, de la Organización y de los diferentes departamentos informando regularmente del estado de la Seguridad de la Información a la Alcaldía.
Asesorar en materia de Seguridad de la Información, siempre y cuando le sea requerido.
Representar frente a terceros (entidades privadas y otras Administraciones Públicas) la figura de responsable de seguridad en acciones transversales. La representación será avalada previo informe favorable del estado de la seguridad emitidos de manera solidaria por parte de los Responsables de Seguridad.
Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes Áreas/Departamentos de la Organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
Recoger las funciones y obligaciones de los Responsables de la Información y los Servicios, en aquellas acciones transversales, en las que le sea solicitado y/o se considere necesario.
Promover la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello se encargará de:
Coordinar los esfuerzos de las diferentes áreas/servicios en materia de Seguridad de la Información, para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
Proponer planes de mejora de la Seguridad de la Información de la Organización, con su dotación presupuestaria correspondiente, priorizando las actuaciones en materia de seguridad cuando los recursos sean limitados.
Realizar un seguimiento de los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones respecto de ellos.
Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su aprobación por el Órgano Superior de la Organización.
Elaborar la normativa de Seguridad de la Información para su aprobación en coordinación con SETESUR.
Verificar la idoneidad de los procedimientos de seguridad de la información y demás documentación.
Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de Seguridad de la Información y en particular de protección de datos de carácter personal.
Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de Seguridad de la Información.
Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones de la Organización en materia de seguridad.

Procedimientos de designación

SETESUR procederá a realizar la constitución del comité y de las distintas responsabilidades. Todos los nombramientos se revisarán periódicamente los puestos que queden vacantes.

8. DOCUMENTACIÓN DE SEGURIDAD

La documentación del sistema de gestión de seguridad de la información seguirá las directrices de estructuración indicadas en el procedimiento Marco de Controles Organizativos. Existirán políticas de seguridad en un primer nivel, procedimientos y normas de seguridad en un segundo nivel, y por último, formatos y registros que evidenciarán el cumplimiento de los requisitos.

9. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

9.1. Datos de carácter personal

SETESUR solo recogerá datos de carácter personal cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido.

De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa vigente de Protección de Datos.

9.2. Obligaciones del personal

Todos los miembros de SETESUR, que se encuentran dentro del ámbito de aplicación del ENS serán objeto de sesiones presenciales o de concienciación en materia de seguridad en función de la periodicidad que el Comité de Seguridad de la Información establezca como necesario y razonable en base a las necesidades detectadas, y siendo en todo caso un programa de concienciación continua que aspira a atender a todos los miembros de SETESUR, organismos autónomos y sociedades públicas incluidas en su perímetro, y en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.

La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

9.3. Gestión de riesgos

Todos los sistemas afectados por esta Política están sujetos a un análisis de riesgos con el objetivo de evaluar las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

Al menos una vez al año.
Cuando se modifique la información y/o los servicios manejados de manera significativa.
Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.

El Responsable de Seguridad ENS será el encargado de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento del Comité de Seguridad de la Información.

El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

El proceso de análisis de riesgos comprenderá las siguientes fases:

Identificación de escenarios de riesgo.
Análisis de riesgos.
Tratamiento: El Comité de Seguridad procederá a la selección de medidas de seguridad que se deben aplicar que deberán de ser proporcionales a los riesgos y estar justificadas. El riesgo se deberá mitigar o eliminar.

Las fases de este proceso se realizarán según lo dispuesto en los anexos I y II del Real Decreto 311/2022, de 3 de mayo y siguiendo las normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación del mismo elaboradas por el Centro Criptológico Nacional.

En particular, para realizar el análisis de riesgos se utiliza la metodología MAGERIT – metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica (MAGERIT figura en el inventario de métodos de análisis y gestión de riesgos de ENISA).

9.4. Desarrollo

Esta Política de Seguridad de la Información será complementada por medio de diversas recomendaciones de seguridad (políticas, protocolos, procedimientos, instrucciones técnicas, etc.), incluidos en el RS.06- Listado de documentación vigente.

Del mismo modo, esta Política de Seguridad de la Información complementa las políticas de seguridad de SETESUR en materia de protección de datos de carácter personal.

La Normativa de Seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

9.5. Terceras partes

Cuando SETESUR preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad de la Información. Se establecerán canales para el reporte y la coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando SETESUR utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información.

Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.

Se establecerán procedimientos específicos de reporte y resolución de incidencias.

Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad.

Cuando algún aspecto de esta Política de Seguridad no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos.

10. Obligaciones del personal en la notificación de incidentes de seguridad de la información.

Todo el personal de SETESUR tiene la obligación de reportar de manera inmediata cualquier incidente o evento que pueda comprometer la seguridad de la información, incluyendo pero no limitado a: accesos no autorizados, pérdida o robo de información, fallos en sistemas, comportamientos sospechosos o vulnerabilidades detectadas.

Los empleados deberán:

Notificar los incidentes al Responsable de Seguridad de la Información o al canal designado para la gestión de incidentes.
Proporcionar toda la información disponible sobre el incidente, incluyendo fecha, hora, sistemas o información afectados, y cualquier evidencia relevante.
Abstenerse de intentar corregir el incidente por cuenta propia, evitando cualquier acción que pueda alterar o destruir evidencia.
Cooperar plenamente con las investigaciones internas y auditorías relacionadas con el incidente.

El incumplimiento de estas obligaciones podrá considerarse una violación de la normativa interna de seguridad y estará sujeto a las medidas disciplinarias establecidas en la organización.