La dirección de Transparent Edge Services, entendiendo la importancia de una adecuada gestión de la información, se compromete con la implementación de un sistema de gestión de seguridad de la información buscando establecer un marco de confianza en el ejercicio de sus deberes, enmarcado en el cumplimiento legislativo vigente y de acuerdo con la misión, visión y valores de la entidad.

Para Transparent Edge Services, la protección de la información busca la disminución del impacto generado sobre sus activos por los riesgos identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por la integridad, confidencialidad y disponibilidad de la misma, de acuerdo con las necesidades de los diferentes grupos de interés identificados.

De acuerdo a lo anterior, esta política se aplica a la entidad según como se defina en el alcance, teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor del SGSI estarán determinados por las siguientes premisas:

• Minimizar el riesgo en las funciones más importantes de la entidad.
• Cumplir con los principios de seguridad de la información.
• Mantener la confianza de sus clientes, socios y empleados.
• Apoyar la innovación tecnológica.
• Proteger los activos tecnológicos.
• Entablar políticas y procedimientos en materia de seguridad de la información.
• Fortalecer la cultura de seguridad de la información en empleados, socios, colaboradores y clientes.
• Garantizar la continuidad del negocio frente a incidentes.
• Transparent Edge Services, y en su nombre el equipo directivo, ha decidido definir, implementar, operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información, alineado con las necesidades del negocio, y de acuerdo a los requerimientos regulatorios.

Objetivos o misión de la organización

La misión de Transparent Edge Services es: “ofrecer a nuestros clientes la ejecución de servicios distribuidos en el edge de una forma rápida y sencilla, proporcionándoles las herramientas necesarias para lograr sus metas y apoyándolos desde nuestra amplia experiencia en este tipo de entornos”.

Marco legal y regulatorio en el que se desarrollarán las actividades

El marco legal y regulatorio al que se somete la organización se define en la correspondiente política de cumplimiento de requisitos legales.

Marco Organizativo de la Seguridad 

Roles y responsabilidades de la organización

CISO

El Responsable de Seguridad es la figura personal más importante en el desarrollo de la seguridad de la información. 

Sus responsabilidades en materia de seguridad de la información serán las siguientes:

• Cumplir de manera obligada y velar por el cumplimiento de todas las políticas de la organización, especialmente aquellas enfocadas en la seguridad de la información.
• Elaborar, promover y mantener la política de seguridad de la información.
• Elaborar el plan de riesgos y las posibles soluciones para mitigar las amenazas.
• Proponer nuevos objetivos en materia de seguridad de la información.
• Desarrollar y mantener el marco normativo de seguridad y controlar su cumplimiento.
• Validar la implantación de los requisitos de seguridad necesarios.
• Liderar la implantación del SGSI.
• Establecer los controles y medidas técnicas y organizativas para asegurar los sistemas de información.
• Gestionar la seguridad de la información de la organización de manera global.
• Gestionar y analizar las incidencias de seguridad que tienen lugar en la organización.
• Revisar periódicamente el estado de la seguridad de la información.
• Realizar el seguimiento de los incidentes de seguridad.
• Controlar y revisar los indicadores definidos.
• Controlar que las auditorías de seguridad se realicen con la frecuencia necesaria.
• Revisar los informes de auditoría.
• Definir y comprobar la aplicación del procedimiento de copias de respaldo y recuperación de datos.
• Definir y comprobar la aplicación del procedimiento de notificación y gestión de incidencias.
• Forma parte del comité de seguridad, y como tal reporta al comité de seguridad las cuestiones relevantes en materia de seguridad de la información.

Su designación se realizará por parte del Comité de Dirección de la organización o persona o personas de la alta dirección en quien delegue, en base a mérito y experiencia en el puesto de trabajo y su renovación será tácita hasta que la persona designada abandone el puesto de trabajo o sea reemplazado por otra persona de la organización. Este puesto puede ser externalizado.

DPO

La figura del DPO tiene por responsabilidades:

1. Cumplir de manera obligada y velar por el cumplimiento de todas las políticas de la organización, especialmente aquellas enfocadas en la seguridad de la información.
2. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados de las obligaciones que les incumben en todo lo relacionado con la implantación de políticas de Protección de Datos
3. Comprobar el cumplimiento del RGPD, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes
4. Ofrecer el asesoramiento relativo a las evaluaciones de impacto y la supervisión del cumplimiento normativo de su aplicación interna
   • Debe informar y asesorar al responsable o al encargado del tratamiento de las obligaciones normativas en protección de datos que les incumban.
   • Tiene que asesorar tanto al responsable como al encargado acerca de la evaluación de impacto que realice  relativa a la protección de datos.
   • Asesorar a los empleados durante el tratamiento de datos.
   • Supervisar el adecuado cumplimiento de las normas sobre protección de datos en la entidad.
   • Revisar las políticas internas de privacidad en la organización y su adecuación normativa.
   • Asignar responsabilidades entre los miembros de la organización, respecto a las obligaciones en materia de protección de datos.
   • Realización de acciones de concienciación internas respecto al cumplimiento efectivo de la normativa.
   • Formar al personal que participa en las operaciones de tratamiento de datos.
   • Supervisar las evaluaciones de impacto en la protección de datos.
   • Control, coordinación y verificación de las medidas de seguridad aplicables.
5. Cooperar con las Agencias Autonómicas y con la Agencia Española de Protección de Datos
6. Atender las consultas que los interesados realicen a la entidad, ya sea para cuestiones relativas al tratamiento de sus datos o para el ejercicio de sus derechos.
7. Actuar como enlace con la autoridad de control para cuestiones relativas al tratamiento y la realización de consultas.
   • Actuar como punto de contacto con la Agencia Española de Protección de Datos para las cuestiones relacionadas con el tratamiento de datos personales, incluyendo la consulta previa.
   • Cooperar con la autoridad de control.

Por tanto, cualquier asunto relacionado con la Protección de Datos de carácter personal deberá ser notificado al DPO para su comunicación a la Agencia Española de Protección de Datos.

Su designación se realizará por parte del Comité de Dirección de la organización o persona o personas de la alta dirección en quien delegue, en base a mérito y experiencia en el puesto de trabajo y su renovación será tácita hasta que la persona designada abandone el puesto de trabajo o sea reemplazado por otra persona de la organización. Este puesto puede ser externalizado.

Responsable de la Información

Determina los requisitos de seguridad de la información tratada según los parámetros establecidos por la normativa o regla vigente. El Comité de Seguridad de Transparent Edge Services es el órgano colegiado que asume este rol.

Responsable del Servicio

Determina los requisitos de seguridad de los servicios prestados según la normativa o regla vigente. El Comité de Seguridad de Transparent Edge Services es el órgano colegiado que asume este rol. Debe incluir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.

Con el fin de describir el proceso y jerarquía para resolver conflictos de autoridad que pueda ocurrir durante la gestión del Sistema de Información entre los perfiles críticos con responsabilidades en materia de seguridad se ha definido las funciones para la resolución de conflictos ante responsables y que aplica a todos los perfiles específicos de gestión del Sistema de Información.

El responsable de Seguridad de la Información, el responsable del Servicio, así como el responsable de la Información serán nombrados por la Dirección a propuesta del Comité de Seguridad. Dichos nombramientos se revisarán cada 2 años o cuando el puesto quede vacante.

Comité de seguridad

El comité de seguridad de Transparent Edge Services se conforma por los siguientes perfiles:

• Responsable de seguridad (CISO)
• Director General (CEO)
• Director de Operaciones (COO)
• Director Técnico (CTO)

La renovación de este comité se realizará de forma tácita hasta el cese de actividad de alguno de sus miembros, momento en el que entrará a formar parte del mismo el nuevo miembro en sustitución del anterior.

Las funciones y responsabilidades del Comité de Seguridad son:

• Cumplir de manera obligada y velar por el cumplimiento de todas las políticas de la organización, especialmente aquellas enfocadas en la seguridad de la información.

• Implantar las directrices de la Dirección.
• Asignar los distintos roles y funciones en materia de seguridad.
• Presentar las políticas, normas y responsabilidades en materia de seguridad de la información a la Dirección para que sean aprobadas.
• Determinar los requisitos de seguridad de la información tratada según los parámetros establecidos por la normativa o regla vigente.
• Determinar los requisitos de seguridad de los servicios prestados según la normativa o regla vigente.
• Validar el mapa de riesgos y las acciones de mitigación propuestas.
• Validar el Plan de Seguridad y presentarlo a la Dirección para que sea aprobado.
• Supervisar el desarrollo y mantenimiento del Plan de Continuidad de negocio.
• Velar por el cumplimiento de la legislación y regulación vigente.
• Promover la concienciación y formación de los empleados en materia de seguridad de la información.
• Incluir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
• Aprobar y revisar periódicamente el cuadro de mando de la seguridad de la información y de la evolución del SGSI.

Análisis y gestión de riesgos

Todos los sistemas sujetos a esta Política han sido evaluados mediante un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

• Regularmente, al menos una vez al año.
• Cuando cambie la información manejada.
• Cuando cambien los servicios prestados. 
• Cuando ocurra un incidente grave de seguridad.
• Cuando se reporten vulnerabilidades graves.

Categorización de los sistemas

Transparent Edge Services categoriza sus sistemas mediante la cumplimentación del documento REG-ENS-00 AR Transparent Edge en el que se han definido los criterios para determinar el nivel de seguridad requerido en cada dimensión. Para ello se analizan los elementos esenciales, información y servicios, pivotando alrededor de ellos los criterios que el responsable de cada tipo de información y cada servicio podrá utilizar, considerando que la facultad de determinar la categoría del sistema corresponde al responsable de este.

El Esquema Nacional de Seguridad establece en su Anexo II medidas de seguridad condicionadas a la valoración del nivel de seguridad en cada dimensión y a la categoría de seguridad del sistema de información respectivo. A su vez, la categoría de seguridad del sistema se calcula en función del nivel de seguridad más alto de las dimensiones valoradas. 

Gestión del personal y profesionalidad

Todos los miembros de Transparent Edge Services tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad aplicar las medidas necesarias para que la información llegue a los afectados. 

Todos los empleados recibirán una sesión de concienciación en materia de seguridad al menos una vez al año. Asimismo, se establecerá un programa de concienciación continua para sensibilizar a todos los miembros de Transparent Edge Services, en particular a los de nueva incorporación, el cual se encuentra alineado con otros estándares implementados.

El personal que esté dedicado a las tareas de seguridad está cualificado de manera apropiada, dada la sensibilidad y complejidad de algunas de esas tareas. Esto es aplicable a todas las fases del ciclo de vida del proceso de seguridad (instalación, mantenimiento, gestión de incidencias y desmantelamiento). Para ello el personal recibe la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios sujetos al ENS.

Lógicamente, los mismos requisitos requeridos internamente deben exigirse a cualquier proveedor que preste servicios relacionados con seguridad. Para ello desde Transparent Edge Services se ha impulsado un procedimiento para la evaluación de los proveedores de forma que se asegure el nivel de seguridad similar al requerido por la entidad.

Autorización y control de los accesos

El primer paso para asegurar que la información y los sistemas están protegidos es limitar el acceso a los mismos. Por ello, se ha definido quiénes, y en qué medida tendrán acceso a los recursos, de manera que cada uno tenga el acceso necesario para realizar sus tareas, pero no a equipos o datos que no deben estar a su alcance. 

Asimismo, los sistemas de información de Transparent Edge Services cuentan con mecanismos de autorización para permitir el acceso y denegarlo y revocarlo cuando sea necesario.

Protección de las instalaciones

Las instalaciones se encuentran protegidas contra daños que puedan afectar a los sistemas que albergan y contra accesos de personas no autorizadas. El acceso a nuestras instalaciones está securizado y se encuentra regulado en el procedimiento habilitado a tal efecto. 

Adquisición de productos de seguridad y contratación de servicios de seguridad.

Transparent Edge Services establece los requisitos del negocio y de seguridad de la información para sus sistemas de información, ya sean nuevos o bien existentes y que se amplíen o mejoren. 

Así, toda nueva adquisición de productos y servicios de seguridad que pueda afectar al SGSI deberá evaluarse previamente, desde el punto de vista funcional y de requisitos de seguridad necesarios. Tras la validación, se procederá con la prueba formal del producto indicando si cumple con los requisitos.  

Todo servicio contratado deberá ser evaluado antes de su puesta en producción con el fin de asegurar que cumpla con los requisitos mínimos de seguridad definidos en la presente Política de Seguridad de la Información y la Normativa de Seguridad vigente.

Mínimo privilegio

El Sistema de Seguridad de la Información implementado en Transparent Edge Services sigue el Principio del Mínimo Privilegio según el cual se otorga a los usuarios del sistema los niveles o permisos de acceso mínimos necesarios para desempeñar sus funciones, con el objetivo de restringir el acceso a la información y recursos únicamente a lo que es estrictamente necesario para cumplir con una tarea específica.

Este principio de mínimo privilegio garantiza que cada parte, ya sea un proceso, un usuario o un programa, sólo pueda acceder a lo que es esencial para su propósito legítimo, no otorgando privilegios innecesarios. No obstante, este principio no se limita solo al acceso de los usuarios humanos también se aplica a aplicaciones, sistemas o dispositivos conectados que requieren privilegios para realizar tareas necesarias.

Al limitar los privilegios se reduce la exposición a ciberataques y se evita la “acumulación de privilegios”.

Integridad y actualización del sistema

Para garantizar la integridad de los sistemas de información siempre, cualquier cambio físico y lógico, se realiza solo tras su aprobación formal y mediante un procedimiento formal.

Para ello, se actualizan los sistemas de manera controlada y según el estado de seguridad requerido en cada momento. Los cambios en las especificaciones de los fabricantes, la aparición de nuevas vulnerabilidades, la emisión de actualizaciones y parches que afecten a los sistemas son analizados para tomar las medidas necesarias para que no se degraden los sistemas ni su nivel de seguridad, gestionando asimismo los riesgos que introducen los cambios que se realizarán.

Protección de la información almacenada y en tránsito

Una parte significativa del ciclo de vida de la información corresponde a su almacenamiento y a su transporte. La información debe estar protegida en todo momento. Para ello se han desarrollado procedimientos adecuados, que cubren tanto a la información en soporte electrónico como en papel, así como política para el manejo y el tratamiento de la información.

Prevención ante otros sistemas de información interconectados.

La prevención ante otros sistemas de información interconectados es un aspecto crucial para Transparent Edge Services. Para ello se han establecido medidas para garantizar la seguridad cuando los sistemas de información se conectan entre sí, teniendo en cuenta, aspectos tales como la protección del perímetro, el control de accesos o el debido registro de actividad con el que poder detectar posibles anomalías o comportamientos inusuales en la interconexión.

Cualquier conexión hacía o desde servicios interconectados serán realizados siguiendo las directrices definidas en las guías CCN-STIC publicadas al efecto.

Registro de la actividad y detección de código dañino.

La empresa realiza la supervisión de sus sistemas de información y procesamiento registrándolas como incidencias de seguridad, revisando el registro de operación y fallos de sus sistemas para identificar el problema. Así, las actividades de supervisión del uso de los sistemas de Transparent Edge Services respetan los requisitos legales de privacidad y se utilizan para verificar la efectividad de los controles de seguridad implantados y el cumplimiento de la política de control de accesos.

Incidentes de seguridad.

Desde la dirección de Transparent Edge Services se ha establecido un procedimiento de notificación formal por el cual todo el personal debe notificar incidencias relacionadas con la seguridad mediante el canal establecido de forma inmediata y sin demoras. Ello permite garantizar una respuesta rápida y efectiva ante incidencias y debilidades en la seguridad.

Continuidad de la actividad.

La empresa ha establecido un procedimiento para actuar contra interrupciones en la actividad empresarial y proteger los procesos críticos de los efectos de fallos importantes en los sistemas de información y asegurar su restablecimiento inmediato. Para ello, se ha implementado un plan de continuidad de negocio para reducir el impacto sobre la infraestructura de Transparent Edge Services, y consecuentemente sobre la empresa, y la recuperación de activos de información (ya sea por accidentes, fallo en equipamiento, actos deliberados, etc.) de forma tal que los procesos del departamento alcancen un nivel aceptable de continuidad mediante medidas de recuperación correctivas y preventivas.

Mejora continua del proceso de seguridad 

La Dirección, por su parte, valora especialmente y establece como criterio principal para la estimación de sus riesgos, la valoración de la confidencialidad, integridad y disponibilidad de la información crítica de la empresa y de sus clientes así como asegurar la trazabilidad y autenticidad de estos. 

Así, se compromete a desarrollar, implantar, mantener y mejorar continuamente la presente política de Seguridad y su Sistema de Gestión con el objetivo de la mejora continua en la forma en que prestan sus servicios y en que tratan la información. 

Datos de carácter personal 

Transparent Edge Services trata datos de carácter personal. En este sentido, y en cumplimiento con la legislación vigente en materia de protección de datos, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Transparent Edge Services ha aplicado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: 

• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Directrices para la estructuración de la documentación

El presente apartado establece los criterios de clasificación de la información en posesión de Transparent Edge Services, con independencia del soporte, y partiendo de los siguientes supuestos:

• Los activos de información deben inventariarse.
• Los activos de información deben tener propietario.
• La información debe clasificarse.
• La información debe etiquetarse para clasificarla, dando por tanto el tratamiento adecuado a dicha clasificación.

Los activos de información deben ser clasificados de acuerdo a la sensibilidad y criticidad de la información que contienen, o bien de acuerdo a la funcionalidad que cumplen, siendo rotulados en función de ello con objeto de señalar cómo ha de ser tratada y protegida dicha información.

Todo activo de información, así como su medio de almacenamiento, comunicación y procesamiento deben tener un propietario designado, con las responsabilidades derivadas de esta atribución que se detallarán a continuación en el presente documento.

En la medida de lo posible, los activos de información se clasificarán con anterioridad a su creación o adquisición por parte de la organización.

Para facilitar esta clasificación, toda la información existente carente de clasificación se considerará CONFIDENCIAL – USO INTERNO hasta que sea reclasificada en alguna otra categoría.

En este sentido, las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un activo de información puede cambiar con la vida del activo.

Por último, la información puede pasar a ser obsoleta y, por tanto, ser necesario eliminarla. La destrucción de la información es un proceso que debe asegurar la confidencialidad de la misma hasta el momento de su destrucción.

De todos estos epígrafes, se dirimen los siguientes principios de seguridad que soportan el SGSI de Transparent Edge Services:

 Principios de seguridad

• Las responsabilidades frente a la seguridad de la información están definidas, compartidas, publicadas y aceptadas por cada uno de los empleados, proveedores, socios de negocio o terceros.
• Transparent Edge Services protege la información generada, procesada o resguardada por los procesos de negocio, su infraestructura tecnológica y activos del riesgo que se genera de los accesos otorgados a terceros, ya sean proveedores o clientes.
• Transparent Edge Services protege la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
• Transparent Edge Services protege su información de las amenazas originadas por parte del personal poniendo en marcha los mecanismos de control que pudieran ser necesarios para dicho cometido.
• Transparent Edge Services protege las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
• Transparent Edge Services controla la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.
• Transparent Edge Services implementa control de acceso a la información, sistemas y recursos de red.
• Transparent Edge Services garantiza que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
• Transparent Edge Services garantiza a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
• Transparent Edge Services garantiza la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
• Transparent Edge Services garantiza el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.

Documentación y Comunicación

Esta Política de seguridad de la Información estará disponible como información documentada y se comunicará dentro de la organización. Además, se compartirá con las partes interesadas relevantes, según sea apropiado.

Revisión y Actualización

Esta política será revisada anualmente o antes si hay cambios significativos en el entorno operativo o tecnológico de Transparent Edge Services. La alta dirección se compromete a mantener esta política alineada con los objetivos de la empresa y los requisitos de seguridad de la información aplicables.

Fecha de última revisión: julio de 2024