El objeto de este documento es establecer el marco normativo en relación con la seguridad de la información para las organizaciones proveedoras de la Organización que acceden a su información, sistemas de información o recursos, con el fin de proteger su confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
Para ello, las organizaciones proveedoras se responsabilizan de informar a sus personas empleadas y subcontratistas que prestan servicio a la Organización.
Todas las actividades desarrolladas para la Organización por organizaciones proveedoras que acceden a su información, sistemas de información o recursos.
El apartado “3. «Directrices generales” es aplicable a cualquier organización proveedora, independientemente del tipo de servicio prestado.
El apartado “4. Directrices específicas” es aplicable exclusivamente a aquellas organizaciones proveedoras cuyos servicios proporcionados se correspondan con el tipo de servicio indicado en cada caso, tal y como se indica al comienzo del citado apartado.
Las organizaciones proveedoras sólo podrán desarrollar para la Organización aquellas actividades cubiertas bajo el correspondiente contrato de prestación de servicios.
La organización proveedora proporcionará a la Organización periódicamente la relación de personas, perfiles, funciones y responsabilidades asociados al servicio prestado, e informará puntualmente de cualquier cambio (alta, baja, sustitución o cambio de funciones o responsabilidades) que se produzca en dicha relación.
De acuerdo con lo establecido en las cláusulas asociadas al contrato de prestación de servicios, todas las personas externas que desarrollen labores para la Organización deberán cumplir las normas de seguridad recogidas en el presente documento. En caso de incumplimiento de cualquiera de estas obligaciones, la Organización se reserva el derecho de veto a la persona que haya cometido la infracción, así como la adopción de las medidas sancionadoras que se consideren pertinentes en relación con la organización proveedora.
La organización proveedora deberá asegurar que todas sus personas tengan la capacitación apropiada para el desarrollo del servicio prestado.
Cualquier tipo de intercambio de información que se produzca entre la Organización y la organización proveedora se entenderá que ha sido realizado dentro del marco establecido por el contrato de prestación de servicios correspondiente, de modo que dicha información no podrá ser utilizada fuera de dicho marco ni para otros fines.
T.I. centraliza los esfuerzos globales de protección de los activos de la Organización
De forma genérica, los activos incluyen:
Las personas externas que tengan acceso a información de la Organización deberán considerar que dicha información, por defecto, tiene el carácter de protegida. Sólo se podrá considerar como información no protegida aquella información a la que haya tenido acceso a través de los medios de difusión pública de información dispuestos a tal efecto por la Organización
Se evitará la revelación, modificación, destrucción o mal uso de la información cualquiera que sea el soporte en el que se encuentre.
Se guardará por tiempo indefinido la máxima reserva y no se emitirá al exterior información protegida, salvo que esté debidamente autorizado.
Se minimizará el número de informes en formato papel que contengan información protegida y se mantendrán los mismos en lugar seguro y fuera del alcance de terceras personas.
En el caso de que, por motivos directamente relacionados con el puesto de trabajo, la persona empleada de la organización proveedora entre en posesión de información protegida contenida en cualquier tipo de soporte, deberá entender que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le confiera derecho alguno de posesión, titularidad o copia sobre dicha información. Asimismo, la persona empleada deberá devolver el o los soportes mencionados, inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos y, en cualquier caso, a la finalización de la relación con la Organización de su empresa.
Todas estas obligaciones continuarán vigentes tras la finalización de las actividades que las personas externas desarrollen para la Organización
El incumplimiento de estas obligaciones puede constituir un delito de revelación de secretos.
Para garantizar la seguridad de los datos de carácter personal, las personas de la organización proveedora deberán observar las siguientes normas de actuación, además de las consideraciones ya mencionadas:
Se garantizará el cumplimiento de las restricciones legales al uso del material protegido por la normativa de propiedad intelectual.
Las personas usuarias únicamente podrán utilizar material autorizado por la Organización para el desarrollo de sus funciones.
Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia en los sistemas de información de la Organización.
Asimismo, queda prohibido el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual sin la debida autorización por escrito.
La Organización únicamente autorizará el uso de material producido por él mismo, o material autorizado o suministrado al mismo por su titular, conforme los términos y condiciones acordadas y lo dispuesto por la normativa vigente.
Ninguna persona deberá ocultar o manipular su identidad en ninguna circunstancia.
La distribución de información ya sea en formato electrónico o físico se realizará mediante los recursos determinados en el contrato de prestación de servicios para tal cometido y para la finalidad exclusiva de facilitar las funciones asociadas a dicho contrato. La Organización se reserva, en función del riesgo identificado, la implantación de medidas de control, registro y auditoría sobre estos recursos de difusión.
En relación con el intercambio de información dentro del marco del contrato de prestación de servicios, se considerarán no autorizadas las siguientes actividades:
La organización proveedora se compromete a informar periódicamente a la Organización de los activos con los que proporciona el servicio.
La organización proveedora se compromete a utilizar los recursos dispuestos para la prestación del servicio de acuerdo con las condiciones para las que fueron diseñados e implantados.
Los recursos que la Organización pone a disposición de las personas externas, independientemente del tipo que sean (informáticos, datos, software, redes, sistemas de comunicación, etc.), están disponibles exclusivamente para cumplimentar las obligaciones y propósito de la operativa para la que fueron proporcionados. La Organización se reserva el derecho de implementar mecanismos de control y auditoría que verifiquen el uso apropiado de estos recursos.
Todos los equipos de la organización proveedora que se conecten a la red de producción de la Organización serán de las marcas y modelos homologados. La organización proveedora pondrá a disposición de la Organización dichos equipos para que éste coordine la instalación del software homologado y los configure apropiadamente.
Cualquier fichero introducido en la red de la Organización o en cualquier equipo conectado a ella a través de soportes automatizados, Internet, correo electrónico o cualquier otro medio, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual, protección de datos de carácter personal, y control de malware.
Se deberán restituir a la Organización todos los activos, sin retraso injustificado, después de la finalización del contrato. Todos los ordenadores personales a los que la Organización les haya instalado software se llevarán a la Organización para que se formatee el disco duro a la finalización del servicio.
Se prohíbe expresamente:
Las organizaciones proveedoras de servicios deberán asegurarse de que todas las personas que desarrollan labores para la Organización respeten los siguientes principios básicos dentro de su actividad:
Cualquier persona con acceso a la información protegida deberá velar por que los equipos queden protegidos cuando vayan a quedar desatendidos.
Cualquier persona con acceso a información protegida deberá respetar al menos las siguientes normas de escritorio limpio, con el fin de proteger los documentos en papel, soportes informáticos y dispositivos portátiles de almacenamiento y reducir los riesgos de acceso no autorizado, pérdida y daño de la información, tanto durante el horario normal de trabajo como fuera del mismo:
Las organizaciones proveedoras de servicios deberán asegurarse de que todo el equipamiento informático de persona usuaria utilizado para acceder a información protegida cumple las siguientes normas:
El software antimalware deberá estar siempre habilitado y actualizado.
Se velará especialmente por la seguridad de todos los equipos móviles de persona usuaria que contengan información protegida o permitan acceder a ella de algún modo:
Las organizaciones proveedoras de servicios deberán asegurarse de que todos los equipos proporcionados por la Organización para la prestación de servicios, independientemente del tipo que sean, se gestionan apropiadamente. Para ello deberán cumplir las siguientes normas:
Todas las organizaciones proveedoras deberán cumplir, además de las normas generales, las específicas recogidas en el presente apartado que les correspondan en cada caso, en función de las características del servicio prestado a la Organización.
Las tipologías de servicio que se contemplan son las que se indican a continuación.
LUGAR | INFRAESTRUCTURA | ACCESO | |||||
La Organización | Remoto | La Organización | Organización proveedora | Privilegiado | Normal | Sin acceso | |
Selección de personas | NO | NO | NO | NO | SÍ | NO | NO |
Auditoría de seguridad | NO | NO | NO | NO | SÍ | NO | NO |
Comunicación de incidentes | SÍ | SÍ | SÍ | NO | SÍ | SÍ | NO |
Seguridad física | NO | SÍ | NO | NO | NO | NO | NO |
Gestión de activos | NO | NO | NO | SÍ | NO | NO | NO |
Arquitectura seguridad | NO | NO | NO | SÍ | SÍ | SÍ | NO |
Seguridad sistemas | NO | NO | NO | SÍ | NO | NO | NO |
Seguridad red | NO | NO | NO | SÍ | NO | NO | NO |
Trazabilidad de uso de los sistemas | NO | NO | NO | SÍ | SÍ | NO | NO |
Control y gestión de identidades y accesos | NO | NO | NO | SÍ | NO | NO | NO |
Gestión cambios | NO | NO | NO | SÍ | SÍ | SÍ | NO |
Gestión técnica de cambios | NO | NO | NO | NO | SÍ | NO | NO |
Seguridad en desarrollo | NO | NO | NO | NO | SÍ | SÍ | NO |
Gestión contingencias | NO | NO | NO | SÍ | NO | NO | NO |
La organización proveedora deberá verificar los antecedentes profesionales de las personas asignadas al servicio, garantizando a la Organización que en el pasado no ha sido sancionado por mala praxis profesional ni se ha visto envuelto en incidentes relacionados con la confidencialidad de la información tratada que le haya supuesto algún tipo de sanción.
La organización proveedora deberá garantizar a la Organización la posibilidad de baja inmediata de las personas asignadas al servicio de cualquier persona en relación con la cual la Organización desee ejercer el derecho de veto, de acuerdo con los condicionantes establecidos en el apartado “3.1. Prestación del servicio”.
La organización proveedora deberá permitir que la Organización lleve a cabo las auditorías de seguridad solicitadas, colaborando con el equipo auditor y facilitando todas las evidencias y registros le sean requeridos.
El alcance y profundidad de cada auditoría será establecido expresamente por la Organización en cada caso. Las auditorías se llevarán a cabo siguiendo la planificación que se acuerde en cada caso con la organización proveedora del servicio.
La Organización se reserva el derecho de realizar auditorías extraordinarias adicionales, siempre que se den causas específicas que lo justifiquen.
Cuando detecte cualquier vulnerabilidad, evento y/o incidente de seguridad de la información deberá notificarlo inmediatamente a través del buzón de correo electrónico seguridad@anasinf.com
Cualquier persona usuaria podrá trasladar a través del citado buzón aquellos eventos, sugerencias, vulnerabilidades, … que puedan tener relación con la seguridad de la información y las directrices contempladas en las presentes normas de las que tenga conocimiento.
Se deberá notificar a través del citado buzón cualquier incidente que se detecte y que afecte o pueda afectar a la seguridad de los datos de carácter personal (p.e. Pérdida de listados y/o soportes informáticos, sospechas de uso indebido del acceso autorizado por otras personas, recuperación de datos de copias de seguridad, …).
El citado buzón centraliza la recogida, análisis y gestión de los incidentes notificados.
Si no se tuviera acceso al buzón, se deberán utilizar los cauces de comunicación establecidos dentro del propio servicio, de modo que sea el interlocutor de la Organización quien comunique el incidente de seguridad.
La sede deberá estar cerrada y deberá contar con algún sistema de control de acceso.
Existirá algún tipo de control de las visitas, al menos en áreas de acceso público y/o de carga y descarga.
La sede deberá contar, al menos, con sistemas adecuados de detección y extinción de incendios, y deberá estar construida de modo que ofrezca una suficiente resistencia frente a inundaciones.
Si se mantiene algún tipo de copia de seguridad, los sistemas que albergan y/o procesen dicha información deberán estar ubicados en un área especialmente protegida, que incluya al menos las siguientes medidas de seguridad:
• El área especialmente protegida deberá tener un sistema de control de acceso independiente al de la sede.
• Se limitará el acceso a las personas externas a las áreas especialmente protegidas. Este acceso se asignará únicamente cuando sea necesario y se encuentre autorizado, y siempre bajo la vigilancia de personas autorizadas.
• Se mantendrá un registro de todos los accesos de personas ajenas.
• Las personas externas no podrán permanecer ni ejecutar trabajos en las áreas especialmente protegidas sin supervisión.
• El consumo de alimentos o bebidas en estas áreas especialmente protegidas estará prohibido.
• Los sistemas ubicados en estas áreas deberán contar con algún tipo de protección frente a fallos de alimentación.
La organización proveedora deberá contar con un registro de activos actualizado en el que se puedan identificar los activos utilizados para la prestación del servicio.
Todos los activos utilizados para la prestación del servicio deberán tener una persona responsable, que se deberá asegurar de que dichos activos incorporan las medidas de seguridad mínimas establecidas por la organización proveedora, y que al menos deben ser las especificadas en la presente normativa.
La organización proveedora deberá notificar a la Organización las bajas de los activos utilizados para la prestación del servicio. Si dicho activo contiene otra propiedad de la Organización (hardware, software u otro tipo de activos), deberá ser entregado a la Organización previamente a llevar a cabo la baja para que la Organización proceda a la retirada de los activos de su propiedad.
Siempre que un activo haya contenido información protegida, la organización proveedora deberá llevar a cabo las bajas de activos garantizando la eliminación segura de dicha información, aplicando funciones de borrado seguro o destruyendo físicamente el activo, para que la información que haya contenido no pueda ser recuperable.
Siempre que la organización proveedora de servicios realice trabajos de desarrollo y/o pruebas de aplicaciones para la Organización o con información protegida, los entornos con los que se lleven a cabo dichas actividades deberán estar aislados entre sí y también aislados de los entornos de producción en los que se albergue o procese información protegida.
Todos los accesos a los sistemas de información que alberguen o procesen información protegida deberán estar protegidos, al menos, por un cortafuegos, que limite la capacidad de conexión a ellos.
Los sistemas de información que alberguen o procesen información especialmente sensible deberán estar aislados del resto.
Los sistemas de información que alberguen o traten información protegida deberán registrar los eventos más significativos en torno a su funcionamiento. Estos registros de actividad estarán contemplados dentro de la normativa de copias de seguridad de la organización proveedora.
Los relojes de los sistemas de la organización proveedora que procesen o alberguen información protegida estarán sincronizados entre sí y con la hora oficial.
La organización proveedora del servicio garantizará que la capacidad de los sistemas de información que guarden o traten información protegida se gestiona adecuadamente, evitando potenciales paradas o malos funcionamientos de dichos sistemas por saturación de recursos.
Los sistemas de información que alberguen o procesen información protegida estarán adecuadamente protegidos frente a software malicioso, aplicando las siguientes precauciones:
La organización proveedora establecerá una normativa de copias de seguridad que garantice la salvaguarda de cualquier dato o información relevante para el servicio prestado, con una periodicidad semanal.
Siempre que se utilice el correo electrónico en relación al servicio prestado, la organización proveedora deberá respetar las siguientes premisas:
El acceso a los sistemas de información que alberguen o procesen información protegida deberá realizarse siempre de forma autenticada, al menos mediante la utilización de un identificador de persona y una contraseña asociada.
Los sistemas de información que alberguen o procesen información protegida deberán contar con sistemas de control de acceso que limiten el acceso a dicha información exclusivamente a las personas del servicio.
Las sesiones de acceso a los sistemas de información que alberguen o procesen información protegida deberán bloquearse automáticamente tras un cierto tiempo de inactividad de las personas usuarias.
Siempre que se haga uso de software facilitado por la Organización se deberán atender las siguientes normas:
Las redes a través de las que circule la información protegida deberán estar adecuadamente gestionadas y controladas, asegurándose de que no existen accesos no controlados ni conexiones cuyos riesgos no estén apropiadamente gestionados por la organización proveedora.
Los servicios disponibles en las redes a través de las que circule la información protegida deberán limitarse en la medida de lo posible.
Las redes que permitan el acceso a la infraestructura TIC de la Organización deberán estar apropiadamente protegidas, debiéndose cumplir las siguientes premisas:
El acceso a las redes a través de las que circule la información protegida deberá estar limitado.
Todos los equipos conectados a las redes a través de las que circule la información protegida deberán estar apropiadamente identificados, de modo que los tráficos de red puedan ser identificables.
El teletrabajo, considerado como el acceso a la red corporativa desde el exterior, se regula mediante la aplicación de la siguiente normativa:
Siempre que se haga uso del acceso a Internet proporcionado por la Organización se deberán respetar, adicionalmente, la siguiente normativa:
Se registrarán los accesos privilegiados conservándose dichos registros de acuerdo con la normativa de copias de seguridad de la Organización.
Se registrará la actividad de los sistemas utilizados para llevar a cabo dicho acceso privilegiado, conservándose dichos registros de acuerdo con la normativa de copias de seguridad de la Organización.
Los errores y fallos registrados en la actividad de los sistemas se analizarán, adoptándose las medidas necesarias para su subsanación.
Todas las personas usuarias con acceso a un sistema de información dispondrán de una única autorización de acceso compuesta de identificador de persona usuaria y contraseña.
Las personas usuarias serán responsables de toda actividad relacionada con el uso de su acceso autorizado.
Las personas usuarias no deberán utilizar ningún acceso autorizado de otro usuario, aunque dispongan de la autorización del propietario.
Las personas usuarias no deberán revelar bajo ningún concepto su identificador y/o contraseña a otra persona, ni mantenerla por escrito a la vista, ni al alcance de terceras personas.
La longitud mínima de la contraseña deberá ser de 6 caracteres y no deberá contener el nombre, apellidos ni el identificador de la persona usuaria en la misma. Deberá ser cambiada cada 45 días ni repetir al menos las 8 contraseñas anteriores.
Igualmente, deberán tener complejidad y ser difícilmente adivinables, por lo que estarán constituidas por combinación al menos 3 de estas 4 opciones en los primeros 8 caracteres:
Es recomendable utilizar las siguientes directrices para la selección de contraseñas:
Todos los cambios en la infraestructura TIC deberán estar controlados y autorizados, garantizando que no forman parte de ella componentes no controlados.
Se deberá verificar que todos los nuevos componentes introducidos en la infraestructura TIC de la organización proveedora utilizada para la prestación del servicio funcionan adecuadamente y cumplen los propósitos para los que fueron incorporados.
Todos los cambios que se lleven a cabo se deberán realizar siguiendo un procedimiento formalmente establecido y documentado, que garantice que se siguen los pasos apropiados para realizar el cambio.
El procedimiento de gestión de cambios deberá garantizar que se minimicen los cambios sobre la infraestructura TIC, limitándose a los estrictamente imprescindibles.
Se deberán probar todos los cambios antes de su despliegue en el entorno de producción, para comprobar que no se producen efectos adversos colaterales o no previstos sobre el funcionamiento y seguridad de la infraestructura TIC.
Las organizaciones proveedoras deberán escanear y mitigar las vulnerabilidades técnicas que presenten las infraestructuras utilizadas para la prestación del servicio, informando a la Organización de todas aquellas asociadas a los componentes críticos.
Todo el proceso de desarrollo de software externalizado será controlado y supervisado por la Organización
Se incorporarán mecanismos de identificación, autenticación, control de acceso, auditoría e integridad en todo el ciclo de vida de diseño, desarrollo, implantación y operación del software.
Las especificaciones del software deberán contener expresamente los requisitos de seguridad a cubrir en cada caso.
El software que se desarrolle deberá incorporar validaciones de los datos de entrada que verifiquen que los datos son correctos y apropiados y que eviten la introducción de código ejecutable.
Los procesos internos desarrollados por las aplicaciones deberán incorporar todas las validaciones necesarias para garantizar que no se producen corrupciones de la información.
Siempre que sea necesario se deberán incorporar funciones de autenticación y control de integridad en las comunicaciones entre los diferentes componentes de las aplicaciones.
Se deberá limitar la información de salida ofrecida por las aplicaciones, garantizando que sólo se ofrece aquella pertinente y necesaria.
El acceso al código fuente de los aplicativos deberá estar limitado a las personas del servicio.
En el entorno de pruebas sólo se utilizarán datos reales cuando hayan sido apropiadamente disociados o siempre que se pueda garantizar que las medidas de seguridad aplicadas sean equivalentes a las existentes en el entorno de producción.
Durante las pruebas de los aplicativos se verificará que no existen brechas de información no controlados, y que por los canales establecidos sólo se ofrece la información prevista.
Sólo se transferirá al entorno de producción aquel software que haya sido expresamente aprobado.
En relación con los servicios Web se considerará la gestión del Top 10 de Owasp.
El servicio deberá contar con un plan que permita su prestación aún en caso de contingencias.
El plan anterior deberá ser desarrollado en función de los eventos capaces de causar interrupciones en el servicio y su probabilidad de ocurrencia.
La organización proveedora deberá poder demostrar la viabilidad del plan de contingencias existente.
Con el fin de velar por el correcto uso de los mencionados recursos, a través de los mecanismos formales y técnicos que se considere oportunos, la Organización comprobará, ya sea de forma periódica o cuando por razones específicas de seguridad o del servicio resulte conveniente.
Público