Política de Calidad de la Seguridad de la Información

Objeto

El objeto del presente documento es establecer la Política de Seguridad de la Información (SGSI) de ALTEN SPAIN, S.A. (en adelante ALTEN).

Dicha Política se desarrolla en otros documentos (procedimientos, instrucciones, manuales, etc.) que tratan en detalle aspectos particulares de la gestión de la seguridad de la información definidos en el modelo de referencia de la norma UNE-ISO/IEC 27001,en vigor.

La política de seguridad de la información de ALTEN, se enmarca dentro de la estrategia de la empresa y se enfoca a cumplir el compromiso de calidad y excelencia de ALTEN: “Satisfacer las necesidades y expectativas de sus clientes”, desarrollado en la declaración de la política de calidad de la empresa.

Marco Organizativo

ALTEN es una multinacional creada en Francia en al año 1988 que está presente en toda Europa.

ALTEN es el líder en Europa en Consultoría e Ingeniería Tecnológica en Altas Tecnologías. Sus clientes son las grandes empresas de los sectores de servicios, telecomunicaciones e industrial, y su oferta se compone de realización de estudios y proyectos abiertos, de gestión de proyectos, de proyectos con equipos y de proyectos cerrados, tanto en el ámbito del sector público como privado.

ALTEN cotiza en la Bolsa de París, su cifra de negocios al 31 de diciembre de 2014 fue de 1.300 millones de euros con 17.200 empleados.

En España, ALTEN tiene instalaciones en Madrid, donde se ubica la sede Central, Barcelona y Valladolid, Pamplona y Cádiz. Todos los centros tiene una estructura similar con:

  • Área Técnica
  • Área Comercial
  • Áreas de Soporte (Soporte Global en las áreas de Compras, Formación, RR.HH. y Selección)

ALTEN está gestionada por cuatro direcciones generales que gestionan el área de Ingeniería, TIC y AAPP, Financiero y RR.HH. De Estas direcciones dependen un nivel intermedio de management compuesto por senior managers para el área comercial y gerentes de área para los departamentos transversales.

Con presencia en grandes empresas de diferentes sectores centra sus principales actividades en las áreas de:

  • Soluciones e-Business
  • Desarrollo de software
  • Tecnología de sistemas
  • Integración y gestión de procesos
  • Business Intelligence
  • Risk Management
  • Prestaciones de personal con un perfil tecnológico de alto nivel, para participar en proyectos de ingeniería e I+D en los sectores y grandes empresas del país
  • Desarrollo de estudios de ingeniería
  • Desarrollo de aplicaciones informáticas a medida
  • Asistencias técnicas.
  • Consultorías tecnológicas
  • Instalación y mantenimiento de productos Oracle
  • Administración de base de datos

La organización para la seguridad de los sistemas queda establecida en ALTEN a partir, de un lado, de la identificación y definición de las diferentes actividades y responsabilidades en materia de seguridad de los sistemas y, de otro, de la implantación de una estructura que las soporte. La estructura organizativa encargada de la gestión de la seguridad de la información del ALTEN está compuesta por los siguientes agentes:

Responsable de Gestión del Sistemas, equipo del departamento de sistemas en los tres centros principales y el responsable de Calidad.

La sede central de ALTEN tiene su domicilio en Madrid, en C/Vía de los Poblados 3, edificio 5, planta 2 y cuenta con una plantilla de, aproximadamente, 1450 empleados. El centro de trabajo dispone de oficinas, salas de reunión, open space y aulas para formación.

ALTEN es consciente de que la calidad de los servicios que presta a los clientes puede venir, en el medio plazo, condicionada, además de por cambios de naturaleza jurídica, por otros factores de muy diversa índole, como son las circunstancias económicas, las necesidades y exigencias, también cambiantes, de los propios profesionales, el conocimiento funcional, los avances tecnológicos o los nuevos modelos de gestión. Por ello ha determinado las siguientes cuestiones externas e internas que son pertinentes en el propósito de desarrollar su Sistema de Gestión de la Seguridad de la Información (en adelante SGSI);

Peligros de la red por el aumento continuo de los ataques informáticos y accesos no autorizados, que obligan a tomar medidas para proteger la información, especialmente la sensible que maneja la entidad como organismo que se debe a sus partes interesadas.

Los cambios continuos de la tecnología y la obligación, y correlativa preocupación de ALTEN por mantener un constante estado del arte para alinear sus servicios a las nuevas necesidades.

El también cambiante marco legal y regulatorio en el que se desarrollan las actividades de la entidad, tanto de naturaleza pública como privada.

Las necesidades y expectativas de las partes interesadas de la entidad con el objeto de garantizar que toda la información perteneciente a las mismas que tenga ALTEN deberá estar protegida en todas las dimensiones de seguridad.

La alineación de las necesidades de los servicios de la información con la cultura, los procesos, la estructura y la estrategia de la organización.

Partes interesadas, sus necesidades y expectativas

ALTEN ha determinado las partes interesadas “relevantes” para el SGSI, que son las siguientes:

  • Área Comercial
  • Clientes
  • Comité de Dirección
  • Empleados
  • Comité de Seguridad TIC
  • Proveedores

ALTEN ha de adoptar cuantas medidas sean necesarias para garantizar que la información que gestiona en el desarrollo de las actividades que lleva a cabo para satisfacer las necesidades y expectativas de las partes interesadas antes mencionadas, en el ámbito de sus funciones, quede protegida en sus dimensiones de disponibilidad, integridad, confidencialidad, tal y como señalan, básicamente, la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

Objetivos estratégicos

  • Objetivo 1: Mejorar la política de imagen y comunicación
  • Objetivo 2: Lograr un modelo económico-financiero suficiente
  • Objetivo 3: Potenciar y abrir el marco competencial-profesional de la consultoría tecnológica a la sociedad
  • Objetivo 4: Impulsar y fomentar el desarrollo de las personas
  • Objetivo 5: Detectar necesidades y expectativas de nuestros grupos de interés y aumentar su grado de satisfacción
  • Objetivo 6: Adecuar la prestación de servicios a las necesidades del entorno con el objetivo de situar a ALTEN en una posición de excelencia
  • Objetivo 7: Avanzar en proyectos en previsión y desarrollo

Asimismo, a través de nuestra Política de Seguridad nos marcamos como compromisos que:

  • La información y los servicios estén protegidos contra pérdidas de disponibilidad y contra accesos no autorizados, preservando, al tiempo, su confidencialidad e integridad.
  • Se cumplan los requisitos legales de aplicación en esta materia en cada momento.
  • Las incidencias de seguridad sean comunicadas y tratadas apropiadamente.
  • Se establezcan procedimientos adecuados para facilitar el cumplimiento de esta política.
  • El Responsable de Seguridad de la Información se encargue de salvaguardar esta política junto con los procedimientos dispuestos por el Comité de Dirección, así como de proporcionar apoyo en su implementación.
  • El Comité de Seguridad de la información se encargue de implementar esta política y sus correspondientes procedimientos.
  • Cada empleado se responsabilice de cumplir con esta política así como con el Código de buenas prácticas y con sus procedimientos, de acuerdo con las características y exigencias propias de su puesto.
  • Se lleve a cabo un constante seguimiento del SGSI y del mantenimiento y adecuación al mismo de su Política de Seguridad.

Alcance del Sistema de Gestión de Seguridad de la Información.

ALTEN aplicará su SGSI sobre el conjunto de los sistemas TIC, gestionados de manera centralizada a través de la Gerencia de Tecnologías, que dan soporte en la gestión de los diferentes proyectos en el ámbito de la AAPP.

Marco legal

La definición de un sistema idóneo de gestión de la seguridad de la información en el ALTEN ha de pasar por la consideración de, al menos, las siguientes disposiciones normativas:

Ley Orgánica 15/1999 de 13 de Diciembre de Protección de Datos de Carácter Personal.

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.

Ley 59/2003, de 19 de diciembre, de firma electrónica.
Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público.

Vigencia y aceptación de la Política de Seguridad

Esta política estará vigente desde la fecha de su firma, que constará en el apartado 2: “Objetivos y Principios de Seguridad”.

El aseguramiento de que todas las personas que influyen en la seguridad conocen la política y los objetivos planteados, se conseguirá gracias a su difusión, por parte del Responsable de Seguridad, a todos los niveles de la organización que corresponda, así como por medio de la distribución de los documentos que aplican a cada nivel en los distintos puestos de trabajo.

En el momento de la incorporación de un empleado (interno o externo) a la entidad, éste aceptará la política de seguridad de la organización comprometiéndose a su cumplimiento.

Revisión de la Política de Seguridad

La presente política será examinada, mínimo anualmente, en las revisiones del Sistema por la Dirección, para asegurar su continua adecuación y eficacia. Se tendrán en cuenta cambios significativos en el marco legal y de negocio, resultados de auditorías, así como análisis de riesgos y sugerencias de mejora.

En este sentido, se establecerán objetivos documentales y cuantificables que serán elaborados y revisados periódicamente por parte de Dirección.

Roles y Responsabilidades

Todo personal de ALTEN involucrado en los procesos incluidos en el alcance, será responsable de la implementación de esta Política de Seguridad de la Información, dentro de sus áreas de responsabilidad, así como del cumplimiento de dicha política por parte de su equipo de trabajo.

A continuación, se exponen más en detalle, los roles y responsabilidades a tener en cuenta como parte de la aplicación de la Política de Seguridad dentro del ámbito del SGSI implantado en ALTEN:

  • La Dirección de ALTEN es el órgano encargado de aprobar la política y de autorizar sus modificaciones.
  • El Comité de Calidad y Seguridad de la Información de ALTEN, asume las siguientes funciones principales:
    – Revisar y proponer a la Dirección, para su aprobación, esta Política de Seguridad de la Información y las funciones generales en materia de seguridad de la información.
    – Gestionar cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes.
    – Tomar conocimiento y supervisar la gestión de incidentes relativos a la seguridad.
    – Aprobar las principales iniciativas para incrementar la seguridad de la información, de acuerdo con las competencias y responsabilidades asignadas a cada área, así como acordar y aprobar metodologías y procesos específicos relativos a seguridad de la información.
    – Garantizar que la seguridad sea parte del proceso de planificación de la información.
    – Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.
    – Promover la difusión y apoyo a la seguridad de la información dentro de la empresa.
  • El Responsable de Gestión de la Seguridad (RGS) asume las siguientes funciones principales:
    – Centralizar la dirección de las actividades del SGSI en ALTEN, coordinando todas las actuaciones en materia de seguridad dentro de las áreas definidas en el alcance del SGSI.
    – Notificar la presente política a todo el personal, e informar de los cambios que en ella se produzcan.
    – Implementar la suscripción de los Compromisos de Confidencialidad y las tareas de capacitación continua en materia de seguridad.
  • Los Propietarios de la Información son responsables de clasificarla de acuerdo con el grado de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la clasificación efectuada, y de definir qué usuarios deberán tener permisos de acceso a la información de acuerdo a sus funciones y competencia.
  • Recursos Humanos o los responsables del área en el caso de los empleados externos, cumplirá la función de notificar a todo el personal que ingresa sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ella se deriven.
  • El Responsable del Área de TI cumplirá la función de cubrir los requerimientos de seguridad informática establecidos para la operación, administración, desarrollo y comunicación de los sistemas y recursos de tecnología de la empresa.
  • El Responsable del Área Legal verificará el cumplimiento de la presente política en la gestión de todos los contratos, acuerdos u otra documentación de la entidad con sus empleados y con terceros.
  • Los usuarios de la información y de los sistemas utilizados para su procesamiento, son responsables de conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad de la Información vigente.
  • Quien sea propuesto por el Comité de Calidad y Seguridad de la Información, será responsable de practicar auditorías periódicas sobre los sistemas y actividades vinculadas con la tecnología de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta política y por las normas, procedimientos y prácticas que de ella surjan.

Violación de la Política de Seguridad

El incumplimiento de la Política y Normativa de Seguridad por parte de un empleado (interno o externo) podrá dar lugar, en el ámbito laboral, a responsabilidades de acuerdo a lo establecido en el Estatuto de los Trabajadores y para el caso de vinculación civil o mercantil con ALTEN a aquellas responsabilidades que se deriven de la naturaleza de dicha vinculación.

Objetivos y principios de Seguridad

Para que los servicios ofrecidos por ALTEN se presten con eficacia, en términos de nivel de servicio, seguridad, disponibilidad y alcance, la Dirección de la empresa apuesta por una gestión basada en un cumplimiento estricto de cualquier requisito legal que le afecte, en la creación de valor para sus clientes y en la implantación de una serie de buenas prácticas, articuladas a través de modelos de referencia internacional, como son las Normas ISO.

Por este motivo, ALTEN ha decidido desarrollar su Política de Seguridad de la Información, que fija sus Objetivos de Seguridad alineados con las necesidades de negocio, el reconocimiento del valor añadido de los sistemas a proteger y una compresión de los riesgos asociados a estos sistemas y expresados en los siguientes términos:

  • Cumplimiento con los requerimientos de negocio.
  • Protección de los activos afectados de las amenazas internas, externas, accidentales o deliberadas, accesos no autorizados, etc.
  • Se analizarán los riesgos de seguridad de la información de todos los servicios prestados por la organización, incluidos en el alcance del sistema y se establecerán los controles asociados necesarios para mitigar los riesgos identificados. Estos controles de seguridad se desarrollarán de acuerdo a las directrices recogidas en la Normativa de Seguridad de la Información.
  • Mantenimiento del riesgo al que está sometida la información por debajo del nivel exigido por ALTEN.
  • Optimización de los costes y garantía de la seguridad en la prestación de servicios incluidos en el alcance, por parte de ALTEN, asegurando la confidencialidad de la información y manteniendo la integridad y la disponibilidad de la misma.
  • Cumplimiento de los requerimientos legislativos y regulatorios.
  • Elaboración, mantenimiento y prueba de Planes de Continuidad de Negocio.
  • Establecer un Plan de formación y concienciación en materia de seguridad de la información que ayude al personal implicado a conocer y cumplir esta política, y a prevenir los riesgos identificados o potenciales.
  • Gestión de todo tipo de incidentes de seguridad.
  • Implantación de un sistema de mejora continua basado en un control permanente de la gestión y en la estrategia de gestión de riesgos adoptada por la empresa.

La Política de Seguridad se desarrolla mediante documentos específicos (Procedimientos…), que determinan, dentro de su ámbito, la forma en que esta política debe ser aplicada a los distintos activos y procesos de ALTEN incluidos dentro del Alcance del SGSI, para que, alcanzando sus objetivos particulares, contribuyan al cumplimiento de la misión y objetivos de la empresa.

Por todo ello, la Dirección de ALTEN declara explícitamente su conocimiento y aprobación de la política desarrollada en este ámbito, de forma que todo el personal afectado (interno o externo) debe conocerla y aplicarla como parte de las tareas propias de su función en la empresa.

ALTEN dota de los recursos necesarios para la aplicación efectiva de esta política, y para su buen desarrollo, tanto en las actividades de implantación como en el posterior mantenimiento de todo el Sistema de Gestión de la Seguridad de la Información.

La presente política es conocida por todo el personal de ALTEN contemplado en el alcance, de acuerdo a las exigencias de la Dirección.

Esta política será revisada con una periodicidad máxima anual, y sus cambios deberán ser aprobados por la Dirección de la empresa.

Madrid, a 16 de mayo de 2016

Firma_Olivier