POLITICA DE SEGURIDAD DE LA INFORMACIÓN
Última fecha de revisión: 28/02/2025
1. Objetivo |
Esta política establece el compromiso de la Dirección con la seguridad de la información, así como las políticas específicas y actuaciones implantadas para mantener la confidencialidad, integridad y disponibilidad de los activos de información de TCM Partners y de sus clientes.
Esta política constituye el marco de referencia del Sistema de Gestión de Seguridad de la Información (SGSI) de TCMpartners, basado en la norma ISO 27001 e ISO 27017.
2. Objetivos del Sistema de Gestión |
- Asegurar la confidencialidad, integridad y disponibilidad de la información.
- Cumplir todos los requisitos legales, reglamentarios y contractuales de seguridad de la información, aplicables a la organización, en especial los relacionados con la protección de datos.
- Conocer y gestionar los riesgos de seguridad de la información.
- Establecer periódicamente objetivos de mejora alineados con la presente política.
- Satisfacer las expectativas y necesidades de las partes interesadas.
- Formar y concienciar a todos los empleados en materia de seguridad de la información.
- Gestionar adecuadamente todos los incidentes de seguridad ocurridos.
- Proveer servicios a los clientes (on-premises y en la nube) aplicando los requerimientos de seguridad que mitiguen los riesgos de los activos de información propiedad de los clientes y que sean acordes con el nivel de riesgo establecido contractualmente.
- Informar a todos los empleados de sus funciones y obligaciones de seguridad y la responsabilidad de cumplirlas.
- Colaborar con terceras entidades para ayudar en la investigación y análisis de ciber amenazas globales.
- Mejorar de forma continua el SGSI y, por ende, la seguridad de la información de la organización.
- Transmitir a todas las partes interesadas que TCMpartners utiliza las mejores prácticas del mercado en términos de seguridad de la información.
La Dirección garantizará que el SGSI y la función de seguridad en TCMpartners disponen de los recursos necesarios para su adecuado funcionamiento y el cumplimiento de los objetivos indicados.
3. Planificación |
Las actuaciones para llevar a cabo por TCMpartners deben planificarse para cumplir con los objetivos de seguridad. Estas actuaciones pasan por la implantación, operación y mantenimiento del Sistema de Gestión de la Seguridad de la Información, asegurando que en todo momento está alineado con esta política.
De cara a garantizar una correcta gestión de la seguridad, TCMpartners planifica un estudio del estado de la seguridad de la organización a través de un análisis de riesgos y establece un plan de tratamiento para aquellos riesgos no aceptados por la organización.
De manera similar, TCMpartners analiza el riesgo de las infraestructuras en la nube que despliega para sus clientes e implanta aquellos controles que aseguren un nivel de riesgo asumido por el cliente. El nivel de riesgo asumido debe quedar establecido contractualmente.
El procedimiento para llevar a cabo el análisis de riesgos se encuentra documentado en TCM-SGSI_PRO-Metodología de Análisis de Riesgos, donde se establecen los criterios para evaluar las distintas amenazas de seguridad que afectan a la organización.
4. Implantación |
TCMpartners gestiona y opera los controles, procesos y medidas de seguridad que ha implantado, asegurando que son eficaces para cumplir con los objetivos para los que se implantaron, además de mitigar los riesgos a los que la organización está expuesta.
Así mismo, TCMpartners implementa el plan de tratamiento de riesgos establecido, si procede, con el fin de obtener un nivel de riesgo residual aceptado por la organización.
5. Revisión |
El SGSI, incluida la presente política de seguridad de la información, es revisado regularmente a intervalos planificados o si ocurren cambios significativos para asegurar la continua idoneidad, eficacia y efectividad de éste.
TCMpartners dispondrá de un proceso de auditoría interna del SGSI que contribuye al cumplimiento de los requisitos propios de la organización y de las normas ISO 27001 e ISO 27017.
El SGSI es revisado por la Dirección, realizando un profundo análisis con el fin de detectar mejoras, tendencias y deficiencias del sistema, tomando decisiones sobre acciones a llevar a cabo según los resultados obtenidos.
6. Mejora |
TCMpartners está comprometida con la mejora continua de la gestión de la seguridad de la información. Para ello, identifica y establece oportunidades de mejora, así como realiza acciones correctivas que mitiguen las no conformidades detectadas.
7. Roles y responsabilidades |
En este apartado se indican los principales roles y responsabilidades en materia de seguridad de la información definidos por TCMpartners.
- La Dirección,
- se compromete con la seguridad de la información,
- establece los principios y políticas que rigen este compromiso,
- se asegura que se dotan los recursos humanos y materiales para la implantación, mantenimiento y mejora del sistema de gestión de seguridad de la información.
- Responsable del SGSI y seguridad de la información.
Esta responsabilidad recae en el Director de Medios.
Contacto: [email protected]
Entre otras funciones, es responsable de:
- Implantar, desarrollar y mantener los procesos necesarios para el establecimiento del SGSI.
- Asegurarse de la concienciación en materia de seguridad de la información en todos los niveles de la organización.
- Gestionar los controles implantados que mitigan los riesgos asociados a la seguridad de la información.
- Gestionar las auditorías de seguridad de la información.
- Asumir la función de Responsable del Riesgo de los activos, analizando éste para todos los activos de información, establece el nivel de riesgo aceptado y propone, si procede, un plan de tratamiento de riesgos.
- Comité del SGSI: Forman parte de este Comité el Director General, Director de Medios, representantes de los departamentos de Administración y de Sistemas y Seguridad.
Entre sus funciones, se encuentra:
- Aprobar las políticas de seguridad de información y procedimientos que las desarrollan y verificar el cumplimiento de éstas.
- Verificar el análisis de riesgos de los activos de información de la empresa y aprobar el riesgo residual tras la implantación de medidas de mitigación.
- Aprobar los objetivos del SGSI, la planificación y seguimiento de los mismos.
- Adoptar las medidas necesarias para el mantenimiento y mejora continua del sistema implantado.
- Gestor del SGSI.
Esta responsabilidad recae en el área de Administración (Gestor Administrativo del SGSI) y en el área de Soporte y Seguridad (Gestor Técnico del SGSI)
Contacto: [email protected]; [email protected]
Entre las funciones del Gestor Administrativo, es responsable de:
- Mantenimiento de la información y registros en GlobalSuite u otra herramienta elegida.
- Seguimiento de la planificación y mediciones del SGSI.
- Convocar reuniones del Comité del SGSI, realizar y documentar las actas.
Las funciones del Gestor Técnico son, entre otras:
- Securización de la infraestructura interna de TCMpartners.
- Implantación y mantenimiento del SGSI, en el ámbito técnico.
- Gestión de herramientas de monitoreo de la información (SOC).
- Atender incidencias de equipos informáticos, así como de seguridad de la información comunicadas.
- Protección de datos personales.
Contacto: [email protected]
El área de Administración asume el rol de propietario de tratamiento en los términos previstos en la regulación sobre protección de datos personales, asegurándose del cumplimiento de ésta, y actuando como punto de contacto para cuestiones relacionadas con el tratamiento de datos personales.
- Responsable de seguridad del despliegue de la infraestructura:
Entre sus funciones, es responsable de:
- Asegurar que se cumple con los requerimientos de seguridad de información establecidos por el cliente y/o con los estándares establecidos por la ISO 27001 y 27017 adoptados por TCMpartners.
- En particular, asegurar que la infraestructura desplegada en la nube, si es el caso, o la arquitectura del proyecto atiende a los estándares de seguridad establecidos interna y contractualmente;
- Responsable de desarrollo seguro:
Entre sus funciones, es responsable de:
- Asegurar que todo el equipo técnico de proyecto conoce la política de desarrollo seguro.
- Velar por que se establezcan los requisitos de seguridad previamente al desarrollo.
- Velar por que estos requisitos se cumplan.
- Documentar las evidencias de este cumplimiento.
8. Aspectos específicos de seguridad |
A continuación, se disponen requisitos generales y directrices sobre aspectos concretos de la Seguridad de la Información.
Estos requisitos deben ser conocidos y respetados por todos los empleados de TCMpartners y ante cualquier duda, el interesado puede dirigirse directamente al Responsable del SGSI para su resolución.
8.1 Política de dispositivos móviles
Se dota a los consultores de ordenadores portátiles para el desempeño de su función. No se permite el uso de dispositivos personales de los empleados a excepción del uso de teléfonos móviles personales para acceso a Teams, correo electrónico y Authenticator.
El ordenador asignado es de uso exclusivo para realizar las funciones relacionadas con su puesto de trabajo, en ningún caso se permite el uso personal del mismo.
Cada usuario es responsable del adecuado uso y conservación de los ordenadores a su cargo. Deberá prevenir el robo o sustracción.
En caso de pérdida o robo, el usuario debe indicarlo lo antes posible al área de Soporte y Seguridad ([email protected]), que procederá al borrado remoto de la información contenida en el dispositivo y tomará otras medidas para preservar la seguridad de la información.
La información corporativa sensible almacenada en los dispositivos a los que el usuario tenga acceso debe estar debidamente custodiada por éste.
El software descargado será estrictamente el necesario para el desempeño de las funciones (Lista Blanca de Software) asignadas. La instalación debe realizarse siempre desde los sitios oficiales del proveedor. Está terminantemente prohibido instalar copias ilegales de cualquier programa.
La actualización del software de los dispositivos estará gestionada desde el área de Soporte y Seguridad. Por defecto, estará implantada la descarga automática de los parches de actualización de los sistemas operativos y aplicaciones.
La información contenida en los dispositivos no tiene copia de respaldo, por lo que, en caso de pérdida o robo del dispositivo, esta información se perderá también. Por ello, el usuario es responsable de que los datos propiedad de TCM Partners o de sus clientes no se guarden en el equipo local sino en Onedrive o Sharepoint, sistemas sujetos a copias de seguridad.
Está prohibido utilizar, copiar o transmitir información contenida en los sistemas informáticos para uso privado, o cualquier otra finalidad distinta al servicio al que está destinado.
En caso de incidencias en el dispositivo, el usuario lo comunicará por correo electrónico a [email protected], indicando la criticidad del incidente para su resolución.
8.2 Política y medidas de seguridad en teletrabajo
El empleado se asegurará de disponer de un entorno de trabajo adecuado y proteger los equipos, soportes, sistemas y demás recursos de los que es responsable.
TCMpartners asegurará la configuración de los dispositivos móviles, de los servicios de red y establecerá los requisitos o restricciones necesarios para trabajar de forma segura a través del uso de redes domésticas. No está permitido que el usuario altere estas medidas de seguridad.
Las redes utilizadas deberán ser privadas con clave de acceso o VPN en las conexiones con clientes u otras infraestructuras cuando así sea requerido. Se debe prestar especial atención al uso de redes inalámbricas, como WIFI o bluetooth, en sitios públicos como hoteles, estaciones, aeropuertos, restaurantes, etc. Estas redes son completamente inseguras, por lo que se debe evitar la transmisión de datos corporativos a través de ellas. En estos casos, es preferible utilizar la red de la operadora de teléfono personal.
El trabajador de TCMpartners debe ser consciente de que el trabajo desempeñado en los recursos facilitados para ello es propiedad de la organización. De forma centralizada se podrá monitorizar el equipo para comprobar la seguridad del dispositivo.
Las claves de acceso a los sistemas corporativos serán personales e intransferibles, prohibiéndose el acceso de otras personas del mismo emplazamiento, como pueden ser familia y amigos.
8.3 Política de escritorio y pantalla limpios
El escritorio del equipo no debe contener ningún tipo de archivo, salvo los accesos directos a las aplicaciones necesarias para poder ejercer las funciones requeridas para el puesto de trabajo.
Los documentos electrónicos deben almacenarse en el directorio de carpetas de red corporativas de la organización.
Bajo ningún concepto se dejarán equipos desatendidos, para evitar cualquier posible amenaza de acceso. Se deberá cerrar la sesión y bloquear la pantalla con una clave en caso de ausentarse del puesto de trabajo.
Todos los equipos y dispositivos deben apagarse cuando no estén en uso.
De la misma manera, en el caso de hacer uso de documentos en formato papel durante el teletrabajo, éstos deberán estar custodiados por el empleado cuando se ausente del puesto de trabajo y al finalizar la jornada.
Esta política de escritorio y pantalla limpios deberá cumplirse tanto si el empleado realiza su trabajo en un sitio público, como si lo realiza en domicilio particular en convivencia con otras personas o posibles visitantes.
8.4 Seguridad relativa a los recursos humanos
TCM Partners se asegurará:
- de que todos los empleados y los terceros son conscientes de las amenazas y problemas que afectan a la seguridad de la información y de sus responsabilidades y obligaciones.
- de que todos los empleados están preparados para cumplir la política de seguridad de la organización en el desarrollo habitual de su trabajo y para reducir el riesgo de error humano.
- de que todos los empleados y los terceros abandonan la organización o cambian de puesto de trabajo de forma ordenada y sin comprometer la seguridad de ésta.
El compromiso de los consultores con la seguridad de la información propiedad de la empresa debe mantenerse incluso después de extinguida la relación laboral entre ambos.
8.5 Política de accesos
La Dirección establece los siguientes requisitos para un control de accesos efectivo y eficiente a los activos de la organización:
- Se controlará el acceso a los activos de la organización (portátiles, servicios de red, aplicaciones propias, infraestructuras de cloud, comunicaciones) para que sólo sea realizado por personal autorizado y en las condiciones de seguridad que la organización ha decidido operar.
- Se velará por el cumplimiento de los requisitos de clasificación de la información establecidos en TCMpartners. En especial se aplicarán medidas de seguridad más restrictivas para el acceso a documentación clasificada como Confidencial.
- Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas de información de la organización.
- El alta, baja y modificación de los accesos a los activos está debidamente gestionado para que sólo el personal autorizado acceda a la información pertinente para su puesto de trabajo, y en el caso de las bajas se impida que la misma pueda ser modificada, transferida o destruida por los usuarios.
- Se establecerán protocolos para la revisión de los privilegios de acceso de los usuarios, con el fin de asegurar que sólo el personal autorizado accede a la información que le corresponde.
- Será responsabilidad de los propios usuarios la correcta custodia de los activos de los que hagan uso para el desempeño de sus labores contractuales, en especial aquellos que contengan información de la organización.
- Se asegurará que todos los empleados y terceros entienden sus responsabilidades y son adecuados para llevar a cabo las funciones que les corresponden, de cara a reducir el riesgo de robo, fraude o uso indebido de los recursos puestos a su disposición.
- Se aplicarán los siguientes principios/requerimientos:
- El acceso a los activos de la información (entre otros, infraestructuras informáticas, servicios de red, aplicativos, información) debe regirse por el criterio de mínimo privilegio, estableciendo diferentes perfiles de acceso a los sistemas de información en función de los requerimientos de cada puesto de trabajo, con el fin de evitar accesos no autorizados y facilitar la administración de los usuarios.
- Las credenciales de acceso de los usuarios a las máquinas y servicios de red para el desempeño de sus actividades son únicas y personales. No está permitida la creación y/o utilización de usuarios genéricos en los sistemas de información. Adicionalmente este acceso está reforzado mediante un mecanismo de doble autenticación para todos los usuarios. De esta manera, el acceso se permite mediante identificación de manera inequívoca del usuario.
- Los roles de administrador serán restringidos y controlados.
- Se establecerá una política de contraseñas sólida. A ser posible se configurará la aplicación/servicios para que se fuerce su cumplimiento. En caso de no ser posible, se concienciará a los consultores para que la apliquen a nivel de usuario.
- Los consultores deben respetar los siguientes requisitos de seguridad:
- Los usuarios son responsables de la custodia de la información de autenticación para el acceso a los sistemas de información, siendo responsables de las acciones que se realizan bajo su ID de usuario.
- En caso de sospechar que la información de autenticación se haya podido divulgar, se debe poner en conocimiento de Responsable del SGSI para que se activen los mecanismos necesarios para su modificación.
- Se recomienda la utilización de las claves en aplicaciones específicas tales como Kee pass instalada en los PCs.
- Hacer un uso eficiente de los recursos a los que se acceda, así como preservar la confidencialidad e integridad de la información transmitida a través de estos medios.
- Durante la implantación de aplicativos on premises el control de accesos es responsabilidad del cliente, éste gestionará los accesos a los diferentes entornos (desarrollo, UAT y producción) para aquellos consultores nominados por TCMpartners para formar parte del proyecto.
- Cuando la implantación se realiza en la nube, TCM configurará la infraestructura lógica para permitir el control de accesos conforme a lo establecido en esta política. Durante la fase de implantación, la gestión de acceso a los diferentes entornos la gestiona TCMpartners. Una vez iniciada la producción, el control y la gestión de los accesos será responsabilidad del cliente.
- En la prestación de servicios de soporte y servicios administrados en la nube en la fase de producción el usuario dejará de tener una clave con privilegios y pasará a tener un usuario restringido.
- En el caso de que se requiera el acceso con privilegios, el cliente le asignará una clave temporal. La sesión de acceso del técnico con privilegios al entorno/sistema en producción deberá estar siempre monitorizada por el personal del cliente. Una vez finalizada la intervención el cliente restablecerá la clave original.
8.5.1 Política de contraseñas
En este apartado se establece la política para fijar contraseñas. No necesariamente todos los sistemas tienen capacidad para obligar a aplicar las siguientes directrices, por lo que se comunica a los usuarios la necesidad de que apliquen estas reglas.
- Las contraseñas serán generadas automática o manualmente con las características establecidas en este documento, y se les comunicará a los usuarios individualmente su contraseña a través de correo electrónico corporativo, obligando al usuario a cambiarla en el primer uso que hagan de la cuenta o servicio.
- Las contraseñas tendrán una longitud mínima de acceso de 12 caracteres aplicando los siguientes requisitos:
- No puede contener el nombre de cuenta del usuario, el email, el nombre completo o partes del nombre completo del usuario (nombre y apellidos), evitando nombres predecibles o triviales.
- Deberá incluir caracteres de tres de las siguientes categorías:
- Mayúsculas (de la A a la Z).
- Minúsculas (de la a a la z).
- Dígitos de base 10 (del 0 a 9).
- Caracteres no alfanuméricos (se pueden utilizar los siguientes caracteres especiales: ! @ # $ % * () _ + = : , . ? -
(En particular MS365 admite contraseñas mínimas de 8 caracteres, si bien se recomienda que el usuario vaya a 12 caracteres mínimos con el fin de mejorar la seguridad en el acceso.)
- Los tiempos de validez de contraseñas se establecerán siempre que el sistema pueda limitar este tiempo. Para MS365 la vigencia máxima es de 41 días.
- Cuando expira una contraseña o el usuario requiere su cambio por temas de seguridad, debe crear una nueva que no puede ser igual a las últimas contraseñas. Por motivos de seguridad, se recomienda no repetirse en los últimos 365 días. En MS365 se ha definido un número de 5 contraseñas anteriores que no se pueden reutilizar. Como la vigencia máxima de la contraseña es de 41 días, la contraseña no puede repetirse en 205 días, recomendándose incluir variantes para que ésta no se repita en 365 días.
8.6 Protección de la nube
TCMpartners es simultáneamente consumidor o cliente de la nube y proveedor de servicios administrados en la nube (managed services provider), asimilable a un proveedor de la nube a efectos de la implantación de la norma ISO 27017.
*Infraestructura informática interna de TCM que soporta sus procesos
La infraestructura informática interna de TCM consta fundamentalmente de ordenadores portátiles asignados a los consultores, servicios de red e infraestructura desplegada en la nube de Microsoft no compartida con otros usuarios. Somos por tanto consumidores de servicios en la nube.
El análisis de riesgo de estos activos conforme a los estándares de la norma ISO 27001 junto con los controles implantados para su mitigación tales como selección de proveedores, controles de acceso, back ups, concienciación, monitorización de incidentes…garantizan la seguridad de la información con un nivel de riesgos bajo, asumible por la empresa.
*Provisión de servicios en la nube
TCM presta servicios de implantación de aplicativos y de mantenimiento y soporte localizados en la infraestructura de la nube de un tercero.
Con independencia del modelo contractual que se establezca entre las partes implicadas (propietario del aplicativo, proveedor de la infraestructura, cliente y TCM), TCM asume las responsabilidades de seguridad de la información como proveedor de servicios administrados dentro de un modelo de responsabilidad compartida entre todos los participantes (cliente de la nube, propietario del aplicativo, proveedor de la infraestructura de la nube, proveedor de servicios administrados).
Se establecen contratos claros con proveedores de infraestructura en la nube y se definen acuerdos de nivel de servicio (SLA) con nuestros clientes, lo que garantiza la definición de responsabilidades compartidas y asegura la protección de los datos y activos en la nube, propiedad del cliente.
En la implantación de aplicativos en la nube se requiere el despliegue de una infraestructura que atenderá a los siguientes criterios desde el punto de vista de seguridad de la información:
- TCMpartners analiza el riesgo de las infraestructuras en la nube que despliega para sus clientes e implanta aquellos controles que aseguren un nivel de riesgo asumido por el cliente. El nivel de riesgo asumido debe quedar establecido contractualmente.
- Utiliza plantillas de hardening recomendadas por la industria para los componentes de la infraestructura de la aplicación. (servidores, bases de datos, ETLs, API, contenedores en la nube, componentes…)
- El entorno incluye un entorno de producción, entorno de pruebas de aceptación del usuario, entorno de desarrollo y un entorno de recuperación ante desastres.
- Se trata de instancias privadas desarrolladas exclusivamente para el Cliente.
- La localización de los entornos queda establecida por el cliente en los contratos suscritos con el proveedor de la nube.
El mantenimiento y soporte de la infraestructura del cliente contemplará las prácticas de seguridad de la información conforme a los estándares de la ISO27001 y ISO27017 con el fin de proveer los niveles de servicio requeridos por el cliente. Entre otras:
- Gestión continua de vulnerabilidades. Evaluar y rastrear de manera continua las vulnerabilidades en todos los activos con el fin de minimizar el riesgo de un ataque.
- Realizar una gestión de parches del sistema operativo, bases de datos, infraestructura de comunicaciones, aplicaciones.
- Se propondrán test de penetración, que deberán estar recogidos contractualmente.
- Copias de seguridad periódicas.
TCMpartners expresa en esta política su compromiso de mantener altos estándares de seguridad en la gestión de la nube, brindando un entorno confiable y protegido para satisfacer las necesidades de los clientes.
8.7 Política de desarrollo seguro
La política de desarrollo seguro establece las prácticas de seguridad que deben cumplirse en el desarrollo de software por parte de TCMpartners.
Todos los integrantes del equipo técnico de proyecto/desarrollo deben conocer la política de desarrollo seguro y conjuntamente son responsables de su cumplimiento.
La política de desarrollo seguro se compone de los siguientes elementos:
- Metodología de desarrollo seguro
En las distintas fases del ciclo de vida del desarrollo del software se deben seguir unas pautas de seguridad que minimicen las vulnerabilidades del código o aplicación desarrollada.
Los requerimientos de seguridad se establecerán desde la fase inicial del ciclo de vida del software junto con los requisitos funcionales.
A lo largo del ciclo de vida del desarrollo se incorporarán hitos de verificación de estos requerimientos.
- Documentación del desarrollo
La documentación asociada al proyecto quedará centralizada en carpeta de Sharepoint con control de acceso gestionado por el responsable del proyecto. La documentación quedará protegida de acuerdo a la categorización “Restringida de Uso interno”.
- Seguridad de entornos o ambientes
Se segmentan los entornos de desarrollo, pruebas y producción, como mínimo, garantizando que los ambientes no compartan la misma red, base de datos ni claves, con acceso controlado de acuerdo con la política de accesos de TCMpartners.
Las credenciales deben ser nominales y estar resguardadas mediante herramientas o prácticas criptográficas.
- Proveedores externos
En el caso de que se contrate el desarrollo a un tercero, se debe:
-
- Convenir con el proveedor los mismos requerimientos de seguridad para el código que los exigidos internamente
- Establecer condiciones contractuales para resguardar la propiedad intelectual de la empresa y asegurar la confidencialidad de la información.
- Gestión del código.
Con el objeto de prevenir y detectar a tiempo cualquier tipo de código malicioso se deben tener en cuenta las siguientes prácticas:
-
- Contar con repositorios con acceso restringido.
- Al código fuente se le debe aplicar:
- Control y trazabilidad de código.
- Código salvaguardado y recuperable.
- Documentar los cambios: descripción del problema, motivo del cambio, capturas de pantalla (si tiene cambios visuales), pasos para probar el correcto funcionamiento de los cambios,
- Checklist con puntos que deben cumplirse.
- Contar con aprobaciones de líderes para el pase a producción.
- Manejo de versionamiento de los proyectos de desarrollo.
- Herramientas que apoyan la gestión del código:
Se utilizan herramientas que ayudan a encontrar debilidades y mejoras en la calidad del código.
- Pruebas de funcionalidad/seguridad
En las pruebas de validación del software deben validarse además de los requisitos funcionales, los requisitos de seguridad y dejar evidencia de su cumplimiento.
Las pruebas que requieren de datos se realizarán a través de datos de prueba y no con datos productivos.
- Ethical hacking
En caso de que el cliente lo considere necesario y siempre con su permiso, se realizará ethical hacking (o pentesting), con el fin de identificar y corregir las vulnerabilidades residuales previamente a su puesta en producción.
- Planes de capacitación
Se deben asignar planes de capacitación con el fin de que el equipo de desarrollo tenga capacidad y conocimiento para:
-
- Conocer y evaluar condiciones de seguridad de los desarrollos.
- Evitar, detectar y resolver incidentes y vulnerabilidades.
8.8 Seguridad en la relación con proveedores
Política de seguridad de la información en las relaciones con los proveedores
TCM Partners establece una política de seguridad de la información en las relaciones con los proveedores críticos basado en los siguientes puntos:
- Las infraestructuras de la nube se contratan a empresas tecnológicas líderes, con altas prestaciones y cláusulas jurídicas ofrecidas a través de sus plataformas que garantizan la seguridad de la información (Microsoft, Altassian).
- Se contratan servicios a través de CSP (Cloud Solutions Providers) de Microsoft o Altassian con certificaciones reconocidas en Ciberseguridad, que garanticen la disponibilidad, integridad y confidencialidad de la información.
- Se firman contratos específicos de encargados de tratamiento que aseguren el tratamiento adecuado de los datos personales con los proveedores de servicios en la nube, así como con otros proveedores que aun no siendo críticos para los procesos de negocio de TCM, son críticos desde el punto de vista del tratamiento de los datos personales. Tal es el caso de la asesoría fiscal, financiera y de RRHH.
- En el caso de que se contraten empresas o personas particulares que no cumplan las condiciones anteriores se deberá acordar unos controles de seguridad que deban implantar, en base al riesgo percibido y analizado por TCMpartners y firmar cláusulas contractuales que aseguren el nivel de servicios, la confidencialidad, la formación a sus empleados, los planes de resiliencia o recuperación, si procede, los controles de seguridad implantados entre otras cuestiones, tal y como se establece en el punto 3.3.2.
- Se aplican directivas estrictas de seguridad a los proveedores que requieran acceder a los sistemas de TCMpartners, cuando es estrictamente necesario que accedan para el desarrollo de las actividades que tengan encomendadas, retirándoles el acceso en cuanto finalice dicha actividad.
- Se procederá a una evaluación periódica en materia de seguridad de la información del servicio prestado por los proveedores, siendo causa de rescisión el incumplimiento de condiciones establecidad de seguridad de la información.
8.9 Gestión de incidencias de seguridad de la información
Los consultores de TCM Partners deben comunicar al departamento de Soporte Informático y al Responsable del SGSI (SOPORTE_SEGURIDAD @ tcmpartners.com) cualquier evento de seguridad de la información.
Los eventos de seguridad detectados y que se deben de notificar pueden atender a esta tipología:
- La divulgación de información confidencial a personal no autorizado por error humano.
- La pérdida o el robo de registros en papel, datos o equipo.
- Acceso no autorizado a los equipos por un tercero al que se le han cedido las contraseñas o ha podido acceder a ellas.
- Sospecha de incumplimiento de la política de seguridad de la información, así como de los procedimientos relacionados con la misma.
- Alteración de registros sin autorización por personal interno o externo por sustracción de credenciales con roles adecuados o por error humano.
- Sospechas o certeza de haber sido afectado por un ciberataque bien sea:
- Identificación de correos masivos, o individuales sospechosos o alteraciones percibidas en la navegación, sin haberse materializado el ataque.
- Confirmación de robo o filtración de información de valor para TCMpartners, como resultado de un ataque de malware.
- Evidencias de bajo rendimiento o toma de control del ordenador, tales como anomalías en el comportamiento del ordenador o sistemas, pérdida de control de las aplicaciones, desconexión.
En general, se comunicará cualquier cuestión que pueda ser anómala, ante la duda.
TCMpartners tiene implantado un procedimiento para la gestión de incidentes de seguridad que contempla:
- evaluación preliminar, clasificación y priorización del incidente;
- comunicación del incidente a las partes interesadas;
- respuesta del incidente, actuaciones;
- registro del incidente;
- aprendizaje, medidas para evitar que se repita el incidente.
8.10 Cumplimiento Legal
Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas de información de TCMpartners.
Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia, así como el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual o industrial.
Todos los trabajadores de TCMpartners deben conocer y asumir esta normativa. En caso de detectarse una violación de seguridad que incumpla la normativa aquí descrita se aplicarán las sanciones pertinentes según indica la ley o reglamento aplicable.
CIERRE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN28 de febrero de 2025 |