Política de seguridad de la información

La Dirección consciente de la importancia de disponer de una política de Seguridad de la Información donde verificar el conjunto de medidas y procedimientos puesto en marcha desde la organización para proteger la confidencialidad de la información y la disponibilidad e integridad de los datos. En la actualidad, las tecnologías de la información se enfrentan a un creciente número de amenazas, lo cual requiere de un esfuerzo constante por adaptarse y gestionar los riesgos introducidos por estas.

• Confidencialidad: solo las personas autorizadas para ello deben conocer los datos.
• Integridad: la información tiene que ser completa, válida, veraz, exacta y no estar manipulada.
• Disponibilidad: la información ha de ser accesible de forma que los usuarios autorizados para ello puedan disponer de ella cuando la necesiten y garantizar su protección.

Esta Política de Seguridad de la Información es una de las piezas más importante para el Grupo ADF. Se compone diferentes documentos (normas de uso, estándares normativos, procedimientos, manuales, guías, buenas prácticas, etc.) de tal manera que cubran todos los aspectos que se presentan en la Política, llegando a nivel de proceso operativo.

Esta política se ha difundido a todo el personal vía email, físicamente en nuestros centros y/o a través de nuestra página web. En ella cabe destacar nuestro:

Objetivo

El objetivo principal de la presente Política es definir los principios y las reglas básicas para la gestión de la seguridad de la información. El fin último es lograr que las tres entidades Academia de Desarrollo Formativo, Formavanza y Círculo de Formación Empleo e Innovación garanticen la seguridad de la información y minimicen los riesgos.

Alcance

Los sistemas de información que dan soporte a la: Formación Profesional grado C, B y A (antigua formación para el empleo ocupacional y continua), Formación para el empleo no conducentes a grados, Formación para empresas y privada en general, Formación en el trabajo, Agencia colocación e inserción, Tele-formación.

La Política es aplicable para todo el Grupo ADF, que deberá cumplir este mínimo requisito sin perjuicio de tener políticas más restrictivas y mejorar la seguridad en la medida de lo posible.

El alcance de la presente Política abarca toda la información del Grupo ADF con independencia de la forma en la que se procese, quién acceda a ella, el medio que la contenga o el lugar en el que se encuentre, ya se trate de información impresa o almacenada electrónicamente.

La Política deberá estar disponible en la página web corporativa del Grupo ADF.

Adaptación y desarrollo por parte Grupo ADF

Esta Política de Seguridad de la información deberá ser adaptada y desarrollada por parte de cada una de las Entidades del Grupo ADF. Las Entidades adaptarán la Política a su operativa que siempre deberá estar alineada con las directrices que se marcan en el presente documento.

En consecuencia, las entidades del Grupo ADF deberán usar la Política definida en el presente documento como requisito mínimo y adaptarla a sus condiciones y manera de trabajar, mediante diferentes tipos de documentación, para conseguir definir los requisitos de seguridad a nivel operativo.

2. Principios de la Política de la Información

La presente Política responde a las recomendaciones de las mejores prácticas de Seguridad de la Información recogidas en el Estándar Internacional ISO 27001:2022, así como al cumplimiento de la legislación vigente en materia de protección de datos personales y de las normativas que, en el ámbito de la Seguridad de la Información, puedan afectar al Grupo ADF.

Grupo ADF establece los siguientes principios básicos de seguridad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de información:

• Alcance estratégico: La seguridad de la información deberá contar con el compromiso y apoyo de todos/as los/as directores/as de cada Entidad del Grupo ADF, de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas para conformar un marco de trabajo completamente coherente y eficaz.
• Seguridad integral: La seguridad de la información se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información.
• Gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad de la información. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que están expuestos y la eficacia y el coste de las medidas de seguridad.
• Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
• Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado.

El Grupo ADF considera que la correcta aplicación de esta política es una labor común de todas las áreas, por eso implicamos a todo el personal en la misma, haciéndole consciente de la importancia del desempeño de su tarea y estableciendo, vías de comunicación fluida en la que se tengan en cuenta sus sugerencias para la mejora de los procesos.

Esta política debe ser entendida y asumida por todos, siendo la Dirección de Grupo ADF, la primera en liderar y asumir el cumplimiento de las directrices descritas como un marco de referencia para el establecimiento de los objetivos de la Política.

3. Compromiso de la Dirección

La Dirección del Grupo ADF, consciente de la importancia de la seguridad de la información para llevar a cabo con éxito sus objetivos se comprometen a:

• Promover en la organización las funciones y responsabilidades en el ámbito de seguridad de la información.
• Facilitar los recursos adecuados para alcanzar los objetivos de seguridad de la información.
• Impulsar la divulgación y la concienciación de la Política de Seguridad de la Información entre los/as empleados/as del Grupo ADF.
• Exigir el cumplimiento de la Política, de la legislación vigente y de los requisitos de los reguladores en el ámbito de la seguridad de la información.
• Considerar los riesgos de seguridad de la información en la toma de decisiones.

4. Roles y responsabilidades

El Grupo ADF se compromete a velar por la Seguridad de todos los activos bajo su responsabilidad mediante las medidas que sean necesarias, siempre garantizando el cumplimiento de las distintas normativas y leyes aplicables.

Se asignará una figura responsable de definir, implementar y monitorizar las medidas de ciberseguridad y seguridad de la información.

La figura asumirá las funciones que, con carácter general, sean atribuidas por la presente Política de Seguridad de la Información a dicha figura.

Será su responsabilidad desarrollar y mantener la Política, asegurándose que ésta sea adecuada y oportuna según evolucione Grupo ADF.

5. Gestión de la Seguridad de los Recursos Humanos

El departamento de Recursos Humanos deberá realizar su gestión teniendo en cuenta los criterios de seguridad establecidos en la Política de Seguridad de la Información, siendo este un punto clave para asegurar su cumplimiento.

Se deberán salvaguardar los requisitos establecidos en la presente Política en todo momento, incluyendo en la fase previa a la contratación, fase de contratación, y fase de desistimiento de contratos de los empleados.

5.1. Formación y concienciación

El Grupo ADF deberá asegurar que todo el personal recibe un nivel de formación y concienciación adecuado en materia de Seguridad de la Información, especialmente en materia de confidencialidad y prevención de fugas de información.

Además, el personal de las entidades deberá ser informado de las actualizaciones de las políticas y procedimientos de seguridad en los que se vean afectados y de las amenazas existentes, de manera que pueda garantizarse el cumplimiento de esta Política.

Por otro lado, los/as empleados/as tienen la obligación de obrar con diligencia con respecto a la información, debiéndose asegurar que dicha información no caiga en poder de cierto personal o terceros no autorizados.

5.2. Política mesas limpias

Se establecen los siguientes requisitos con el objetivo de mantener la seguridad en los puestos de trabajo:

• Se deberá bloquear la sesión de los equipos cuando el/la empleado/a deje el puesto, tanto por medios manuales (bloqueo por parte del usuario), como de forma automatizada mediante la configuración del bloqueo de pantalla.
• Se deberá dejar recogido el entorno de trabajo al finalizar la jornada. Esto incluye la necesidad de que todo documento o soporte de información quede fuera de la vista, guardando bajo llave los que por su clasificación sean confidenciales o secretos (véase el Anexo: Niveles de clasificación).
• Se deberá mantener ordenado el puesto de trabajo y despejado de documentos o soportes de información que puedan ser vistos o accesibles por otras personas.

6. Gestión de activos

Se deberán tener identificados e inventariados los activos de información necesarios para la prestación de los procesos de negocio del Grupo ADF. Además, se deberá mantener actualizado el inventario de activos.

Se deberá realizar la clasificación de los activos en función del tipo de información que se vaya a tratar, de acuerdo con lo dispuesto en el apartado 7. Clasificación de la información.

Por otro lado, se asignará un responsable encargado de realizar la gestión propia de los activos de información durante todo el ciclo de vida. El responsable deberá mantener un registro formal de los usuarios con acceso autorizado a dicho activo.

Además, para cada activo o elemento de información deberá existir un responsable o propietario, el cual tendrá la responsabilidad de asegurar que el activo esté inventariado, correctamente clasificado y adecuadamente protegido.

Se deberán actualizar de manera periódica las configuraciones de los activos para permitir el seguimiento de estos y facilitar una correcta actualización de la información.

6.1. Gestión del ciclo de vida de la información

El Grupo ADF deberá gestionar adecuadamente el ciclo de vida de la información, de manera que se puedan evitar usos incorrectos durante cualquiera de las fases.

El ciclo de vida de un activo de información consta de las siguientes fases:

• Creación o recolección: esta fase se ocupa de los registros en su punto de origen. Esto podría incluir su creación por un miembro del Grupo ADF o la recepción de información desde una fuente externa. Incluye correspondencia, formularios, informes, entrada/salida del ordenador u otras fuentes.
• Distribución: es el proceso de gestión de la información una vez que se ha creado o recibido. Esto incluye tanto la distribución interna como externa, ya que la información que sale del Grupo ADF se convierte en un registro de una transacción con terceros.
• Uso o acceso: se lleva a cabo después de que la información se distribuya internamente, y puede generar decisiones de negocio, generar nueva información, o servir para otros fines.
• Almacenamiento: es el proceso de organizar la información y la creación de un sistema de gestión para garantizar su utilidad dentro del Grupo ADF. El Grupo ADF tiene un método de almacenamiento para la presentación de información, su recuperación y uso resultaría casi imposible.
• Destrucción: establece las prácticas para la eliminación de la información que ha cumplido los periodos de retención definidos y la información que ha dejado de ser útil para el Grupo ADF. Los periodos de conservación de la información deberán estar basados en los requisitos normativos, legales y jurídicos que afectan al Grupo ADF.

El grupo ADF se compromete a identificar medidas de seguridad de acuerdo con la presente Política para asegurar la correcta gestión del ciclo de los activos.

6.2. Gestión de las copias de seguridad.

Se deberán realizar copias de seguridad de la información, del software y del sistema y se deberán verificar periódicamente. Para ello, se deberán realizar copias de seguridad de aplicaciones, ficheros y bases de datos con una periodicidad, al menos, semanal, salvo que en dicho período no se hubiese producido ninguna actualización. En su caso, se podrá establecer una frecuencia más alta de realización de copias de seguridad diarias, si la información a salvaguardar es de impacto alto para el Grupo ADF y/o de elevado nivel de transaccionalidad.

Como norma general, la frecuencia con la que se realizarán las copias de seguridad se determinará en función de la sensibilidad de las aplicaciones o datos, de acuerdo con los criterios de clasificación de información declarados en el anexo “Niveles de clasificación”. Las copias de seguridad deberán recibir las mismas protecciones de seguridad que los datos originales, asegurándose su correcta conservación, así como los controles de acceso adecuados.

Como norma general y siempre que sea posible, se deberá requerir que la información en las copias de seguridad esté cifrada. Este requerimiento será obligatorio para determinados tipos de información confidencial.

Se deberá establecer un período de retención de las copias de seguridad hasta su destrucción una vez terminado el periodo de existencia.

Las copias de seguridad, tanto de archivos físicos, como de aplicaciones y archivos de información se deberán ubicar en lugares seguros con acceso restringido.

7. Clasificación de la información

Se deberá definir un modelo de clasificación de la información que permita conocer e implantar las medidas técnicas y organizativas necesarias para mantener su disponibilidad, confidencialidad e integridad. El modelo de clasificación deberá integrar los requisitos y condiciones establecidos en el presente apartado de la Política.

El modelo de clasificación deberá tener un responsable encargado de su actualización cuando se crea conveniente, así como de dar a conocer el modelo de clasificación a todos los empleados del Grupo ADF.

7.1. Tipos de información

El Grupo ADF clasificará la información en función del soporte en el que está siendo utilizado:

• Soportes tecnológicos: información que esté siendo utilizada mediante medios ofimáticos, correo electrónico o sistemas de información desarrollados a medida o adquiridos a un tercero.
• Soportes físicos: información que esté en papel, soportes magnéticos como USB, DVD, PENDRIVE, etcétera.

7.2. Niveles de clasificación

En función de la sensibilidad de la información, el Grupo ADF deberá catalogar la información en cuatro niveles, véase la definición precisa en el Anexo “Niveles de clasificación”:

• Confidencialidad: acceso restringido a dirección.
• Restringido: directores/as y empleados/as clave tienen acceso.
• Interno: empleados/as del Grupo ADF
• Público: todas las personas, dentro y fuera del Grupo ADF.

Etiquetado de la información

El Grupo ADF etiqueta la información física según la formación de cada convocatoria al igual que la información digital facilitando el procesamiento adecuado de las medidas de seguridad. Asimismo, se deberán etiquetar los documentos o materiales, así como los anexos, copias, según los niveles de clasificación de la información definidos en el subapartado anterior, exceptuando la información considerada de “Uso público”. Por otro lado, el Grupo ADF deberá asegurar la formación y capacitación de todos sus empleados en el etiquetado de la información, así como formar y capacitar a los empleados que traten la información confidencial.

7.4. Manipulación de la información

El Grupo ADF se encargará de desarrollar e implementar un conjunto adecuado de procedimientos para la correcta manipulación de la información. Se deberán adoptar las medidas necesarias para proteger la información de acuerdo a su clasificación.

La información privilegiada estará en todo momento custodiada durante todo el ciclo de vida de la misma.

8. Prevención de fugas de información.

El Grupo ADF deberá definir procedimientos para evitar que puedan provocar la pérdida de información, así como procedimientos de actuación en caso de que se notifique una fuga de información. Se deberá asegurar la formación y capacitación de todos los/as empleados/as en torno a buenas prácticas para la prevención de fugas de información. Especialmente se deberán tener en cuenta, al menos, los siguientes aspectos:

• Uso adecuado de dispositivos extraíbles como USB, CD/DVD o similares.
• Uso del correo electrónico.
• Transmisión de información de forma oral.
• Impresión de documentación.
• Salida de documentación.
• Uso de dispositivos móviles.
• Uso de Internet.
• Zonas de trabajo limpias y ordenadas.
• Equipos desatendidos.

9. Seguridad en trabajo en la nube o iCloud

El Grupo ADF deberá mantener una política de trabajo en la nube o iCloud que establezca las medidas de seguridad adecuadas para la confidencialidad, integridad y disponibilidad de la información. Dependiendo de tipo de modelo de servicio en la nube, se deberán aplicar diferentes medidas de seguridad:

• Infraestructura: en primer lugar, se deberá asegurar que el responsable monitorice el entorno para detectar cambios no autorizados. Además, se deberán establecer fuertes niveles de autenticación y control de acceso para los administradores y las operaciones que estos realicen. Por último, las instalaciones y/o configuraciones de los elementos comunes deberán estar registrados y conectados con el objetivo de obtener la trazabilidad adecuada.
• Plataforma: de forma adicional a las medidas indicadas en el modelo de servicio de Infraestructura, el responsable del servicio deberá proporcionar mecanismos de seguridad correspondientes al ciclo de vida del software seguro.
• Software: de forma adicional a las medidas indicadas en el modelo de servicio de Plataforma, el Grupo ADF y el Proveedor deberán seguir OWASP (Open Web Application Security) como guía para la seguridad de las aplicaciones.

10. Auditorías de Seguridad y gestión de vulnerabilidades

Se deberá realizar una identificación periódica de vulnerabilidades técnicas de los sistemas de información y aplicaciones empleadas en la organización, de acuerdo a su exposición a dichas vulnerabilidades y adoptando las medidas adecuadas para mitigar el riesgo asociado.

Una vez identificadas las vulnerabilidades, la organización deberá aplicar las medidas correctoras necesarias tan pronto como sea posible. La identificación, gestión y corrección de las vulnerabilidades debe hacerse conforme a un enfoque basado en riesgos, teniendo en cuenta la criticidad y la exposición de los activos.

11. Revisión de la Política

La aprobación de esta Política implica que su implantación contará con el apoyo de la Dirección para lograr todos los objetivos establecidos en la misma, como también para cumplir con todos sus requisitos.

La presente Política de Seguridad de la Información, será revisada anualmente. No obstante, si tuvieran lugar cambios relevantes en la sociedad o se identificaran cambios significativos en el entorno de amenazas y riesgos, ya sean estos de tipo operativo, legal, regulatorio o contractual, se procederá a su revisión siempre que se considere necesario, asegurando así que la Política permanece adaptada en todo momento a la realidad del Grupo ADF.

12. Anexos

• Niveles de clasificación

Nivel	Detalle Nivel	Ejemplos
Público	Se trata de la información que puede ser conocida por cualquier tipo de persona y su utilización fraudulenta no supone un riesgo para los intereses del Grupo ADF.	Son ejemplos de este tipo de información los folletos publicidad formación y la información disponible en la página Web.
Interno	Es la información utilizada por los/as empleados/as Grupo ADF y cuya utilización fraudulenta supone un riesgo para los intereses del Grupo.	Son ejemplo de este tipo de información los correos electrónicos y los documentos de trabajo de los empleados del Grupo.
Confidencialidad	Es aquella información que solo puede ser conocida por un número reducido de personas y para la que un uso fraudulento puede suponer un impacto para los intereses del Grupo ADF significativo.	Son ejemplos de este tipo de información los informes de auditoría y de estrategia del Grupo.
Restringido	Es la información que únicamente debe conocer el propietario de la misma y cuya divulgación puede suponer graves perjuicios para los intereses del Grupo.	Son ejemplos comunicaciones entre el Director y coordinadoras/os de los centros.