Gestión de los Recursos y Sistemas
1 Objeto
El objeto del presente procedimiento es definir como gestiona la Organización sus recursos y sistemas de información.
2 Alcance
Este Procedimiento aplica a todos los usuarios de los sistemas de información, tanto internos como externos, de la Organización.
3 Definiciones
N/A
4 Responsabilidades
| Tarea | Responsabilidades | |||||
|---|---|---|---|---|---|---|
| R | A | S | C | I | ||
|
Velar porque todos los recursos y sistemas de la empresa cuenten con un grado de seguridad y protección acorde al apetito de riesgo de Sincrolab
|
||||||
|
Velar porque todos los recursos y sistemas de la empresa cuenten con un grado de seguridad y protección acorde al apetito de riesgo de Sincrolab
|
||||||
|
Garantizar que ningún externo no autorizado acceda a los datos de la empresa y de sus clientes
|
||||||
|
Garantizar que los usuarios accedan de forma exclusiva a los recursos autorizados en función de su perfil
|
||||||
|
Garantizar que no se pierda información relevante tanto para la empresa como para sus clientes
|
||||||
|
Garantizar que no se manipulen ni distorsionen datos
|
||||||
|
Garantizar que los sistemas funcionen de forma óptima en función de los requerimientos de la empresa o del cliente
|
||||||
5 Desarrollo
Sincrolab es una empresa focalizada en acompañar a sus clientes en sus procesos de transformación digital, apoyándoles en las implantaciones de planes ciber, ayudándoles a alcanzar altos niveles de resiliencia, protegiendo sus activos críticos, para hacer crecer su negocio de una manera cibersegura. Además, la empresa ofrece servicios de DPO para ayudar a sus clientes a cumplir con las regulaciones y leyes de privacidad de datos aplicables a su industria y ubicación geográfica.
La prestación de este servicio se lleva a cabo de manera híbrida, tanto en las instalaciones de Cys Management S.L como en teletrabajo. En las instalaciones, se asiste de forma presencial únicamente cuando exista un proyecto que lo requiera, en caso contrario, se trabaja en modalidad de teletrabajo.
Durante la prestación del servicio desde las instalaciones de la Organización, se garantiza el acceso exclusivo a la información y los recursos necesarios para llevar a cabo el trabajo de manera adecuada.
Para aquellos empleados que realicen sus tareas fuera de las instalaciones de la organización, se ha establecido un procedimiento de gestión y uso de dispositivos móviles.
Asimismo, para los empleados que trabajen de forma remota de manera regular o en ocasiones puntuales fuera de las instalaciones de la organización, se ha implementado un procedimiento de control de acceso a las instalaciones.
La creación, eliminación o modificación de usuarios está definida en el procedimiento de Gestión de Usuarios.
En caso de ser necesario, las unidades físicas y lógicas de almacenamiento serán creadas por el Responsable de Sistemas de la organización.
5.1 Descripción de los Sistemas de Información
Los Sistemas de información de la Organización están en la plataforma de SharePoint de Microsoft como repositorio de información en la nube.
Para la compartición de archivos y documentos con los empleados se utiliza SharePoint y en su defecto el correo electronico.
En relación con los equipos de la Organización podemos indicar que:
Los portátiles siguen un protocolo definido en el procedimiento de gestión y uso de dispositivos móviles.
El servicio de correo está contratado con dinahosting, pero se hace uso de este mediante Microsoft Office 365.
La Organización dispone de una red wifi de invitados, con contraseña, para los dispositivos personales, tanto de los empleados como de las visitas.
5.2 Medidas de Seguridad de los Sistemas de Información
El acceso a la red de la Organización desde el exterior está protegido mediante un Firewall. No obstante, existen 2 tipos de redes completamente separadas:
- Red interna
- Red de invitados (WIFI)
Todos los ordenadores corporativos internos de Sincrolab cuentan con la protección de Harmony Endpoint del Fabricante CheckPoint. Estos ednpoints están activados y se mantienen actualizados en todo momento, mediante actualizaciones periódicas.
5.3 Propiedad Intelectual
El Software instalado será legal previo acuerdo o licencia con el fabricante del mismo.
Para aquellos Sistemas que sean gratuitos se analizará su Licencia con objeto de determinar qué tipo de acciones se pueden hacer con el mismo o si está sujeto a un período de tiempo. En el caso de contar con contratos de Licencia complejos, la Organización podrá acudir a un experto.
Para aquellos productos que se requiera un acuerdo más específico se establecerá un contrato de propiedad Intelectual revisado por un experto en la materia.
El Responsable de Sistemas de Sincrolab, o persona en quién ésta delegue, es la responsable de autorizar cualquier instalación o desinstalación de Software en los equipos. El Responsable de Sistemas de la Organización llevará un registro con los usuarios, equipos y licencias de SW.
5.4 Control y Seguimiento de los recurso y sistemas
Para garantizar el nivel de protección adecuado y exigido por la normativa vigente en materia de seguridad y protección de datos, Cys Management S.L ha definido, en su Documento de Seguridad, su normativa en materia de seguridad.
Dicha normativa es de aplicación a todo los usuarios y sistemas identificados en la Organización.
Cuando para la prestación de un servicio de Cys Management S.L, se tenga que subcontratar éste, y si su personal tiene que acceder a los recursos y sistema de la Organización, éste estará sometido a las mismas condiciones y obligaciones en materia de seguridad que el personal propio de la empresa.
5.5 Dimensionamiento y gestión de las capacidades
El Responsable de Sistemas, con carácter previo a la puesta de un nuevo servicio, realizará un estudio previo con las necesidades actuales, que cubrirá los siguientes aspectos:
- Necesidades de procesamiento.
- Necesidades de almacenamiento de información: durante su procesamiento y durante el periodo que deba retenerse.
- Necesidades de comunicación.
- Necesidades de personal: cantidad y cualificación profesional.
- Necesidades de instalaciones y medios auxiliares.
Este estudio previo quedará definido en un Plan de Capacidad, siendo responsabilidad del Responsable de Sistema su identificación y mantenimiento.
El Plan de Capacidad permitirá dimensionar los componentes en los que se apoyará la solución con ayuda de las tablas proporcionadas por el fabricante en la Guía de instalación.
Dicho Plan de Capacidad formará parte del informe de revisión por la dirección, que se realizará de forma anual. En el caso de situaciones excepcionales, el Plan de Capacidad se podrá revisar según proceda.
5.6 Gestión de los cambios
El Departamento de Sistemas es el responsable de la gestión de los cambios realizados en los sistemas de información de la empresa, los procesos de negocio e instalaciones de tratamiento de la información.
Esta gestión de los cambios se lleva a través de correo electrónico, incluida su aprobación.
Como norma general, para todos los cambios se tendrá en cuenta lo siguiente:
Todos los cambios anunciados por el fabricante o proveedor serán analizados para determinar su conveniencia para ser incorporados, o no.
Los cambios se planificarán previamente con el objeto de reducir el impacto sobre la prestación de los servicios afectados por la empresa.
Mediante el análisis de riesgos realizado por la empresa, se determinará si los cambios son relevantes para la seguridad de sus sistemas. Aquellos cambios que impliquen una situación de riesgo de nivel alto serán aprobados explícitamente de forma previa a su implantación.
En caso de existir nuevos requisitos de seguridad en algún proyecto, el responsable del proyecto se lo comunica, vía email, al Responsable de Sistemas para el análisis e implementación por parte de este.
5.7 Autorizaciones
El proceso de autorizaciones de la empresa cubre todos los elementos del sistema de información, y queda definido según el siguiente cuadro:
| Autorización | Responsable | Evidencia |
|---|---|---|
| Utilización de instalaciones, habituales y alternativas. | Responsable de Seguridad | Todo el personal está autorizado al uso de las instalaciones habituales. En el caso de tener que usar instalaciones alternativas, se comunicará quién puede acceder a ellas mediante correo electrónico. |
| Entrada de equipos en producción, en particular, equipos que involucren criptografía. | Responsable de Sistemas | Mediante correo electrónico |
| Establecimiento de enlaces de comunicaciones con otros sistemas | Responsable de Sistemas | Mediante correo electrónico |
| Utilización de medios de comunicación, habituales y alternativos. | Responsable de Sistemas | Todo el personal contratado está autorizado a usar los medios de comunicación, habituales y alternativos. |
| Utilización de soportes de información | Responsable de Sistemas | Mediante correo electrónico |
| Utilización de equipos móviles. | Responsable de Sistemas | Todo el personal que tiene un portátil o smartphone está autorizado a usarlo |
| Utilización de servicios de terceros, bajo contrato o Convenio | Responsable de Sistemas | Aprobación de compra o utilización |
6 Anexos
N/A
7 Formatos
N/A
8 Registros
N/A
9 Documentos Relacionados
N/A
10 Referencias Normativas
- ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.