Política de seguridad

Política de seguridad

1. Objetivos

NETAPHORA ha establecido un marco de gestión de la seguridad de la información según lo establecido por el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS), reconociendo, así como activos estratégicos la información y los sistemas que la soportan.

Uno de los objetivos fundamentales de la implantación de este marco de referencia es asentar las bases sobre las cuales los trabajadores de NETAPHORA y sus clientes puedan acceder a los servicios en un entorno de gestión seguro, anticipándonos a sus necesidades, y preservando sus derechos.

La Política de Seguridad es el instrumento en que se apoyan los recursos de NETAPHORA para alcanzar sus objetivos utilizando de forma segura los sistemas de información y las comunicaciones.

La Política de Seguridad identifica responsabilidades y establece principios y directrices para una protección apropiada y consistente de los servicios y activos de información gestionados por medio de las Tecnologías de la Información y de las Comunicaciones (TIC).

El objetivo es lograr una protección, proporcional al riesgo, de la información tratada por NETAPHORA, y de los sistemas, dispositivos y elementos que soportan los servicios y procesos de tratamiento, mediante la preservación de las dimensiones de seguridad de la información, es decir, su autenticidad, confidencialidad, integridad, disponibilidad, trazabilidad y conservación.

2. Alcance

Esta Política será de aplicación y de obligado cumplimiento para todos los empleados de NETAPHORA; así como a sus recursos y procesos afectados por el Real Decreto 311/2022, de 3 de mayo, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.

3. Misión

NETAPHORA da servicio a sus clientes asegurando la efectividad de sus derechos y la continua mejora de los procedimientos, servicios y prestaciones de acuerdo con las políticas fijadas por la organización. Asimismo, en NETAPHORA se tienen en cuenta los recursos disponibles, determinando de esta manera las prestaciones que proporcionan los servicios ofrecidos, sus contenidos y los correspondientes estándares de calidad.

NETAPHORA se organiza y actúa con pleno respeto al principio de legalidad y de acuerdo con los principios de jerarquía, descentralización funcional, desconcentración, coordinación, eficacia en el cumplimiento de los objetivos fijados, eficiencia en la asignación y utilización de los recursos disponibles, transparencia, responsabilidad por la gestión y servicio efectivo a sus clientes.

La organización viene a ejercer sus competencias propias bajo su propia responsabilidad, debiendo atender siempre a la más eficaz coordinación con sus clientes. Para ejercer sus competencias, NETAPHORA hace uso de sistemas de información que son protegidos de una forma efectiva y eficiente.

4. Marco normativo

El marco normativo de las actividades de NETAPHORA en el ámbito de la Política de Seguridad de la Información está integrado por las siguientes normas:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (Reglamento general de protección de datos).
  • Ley 6/2020, de 11 de noviembre, de firma electrónica.
  • Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.
  • Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
  • Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad.
  • Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público.
  • Ley 9/2014, de 10 de mayo, General de Telecomunicaciones.
  • Ley 18/2014, de 17 de enero, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Informe del Estado de la Seguridad. ITS-BOE-A-2016-10108 Estado de la seguridad.
  • Conformidad con el Esquema Nacional de Seguridad ITS-BOE-A-2016-10109. de Conformidad con ENS.
  • Auditoría de la seguridad de los sistemas de información ITS-BOE-A-2018-4573 de Auditoría de la Seguridad.
  • Notificación de incidentes de seguridad ITS-BOE-A-2018-4573 de Auditoría de la Seguridad.

Asimismo, resultarán de aplicación cuantas otras normas regulen la actividad de NETAPHORA en el ámbito de sus competencias y aquellas otras dirigidas a asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en los medios electrónicos gestionados por la Corporación en el ejercicio de sus competencias.

5. Organización de la seguridad

La gestión de la seguridad de los sistemas de información —definición, implantación y mantenimiento— exige establecer una Organización de la Seguridad. Tal organización determina con precisión los diferentes actores que la conforman, sus funciones y responsabilidades, así como la implantación de una estructura que las soporte.

Artículo 11. Diferenciación de responsabilidades

En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.

La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.

La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

No obstante, la Guía de seguridad del CCN-STIC 801: “responsabilidades”, establece que, en los organismos de dimensión reducida, los roles y responsabilidades para el ENS pueden establecerse en base a la siguiente estructura reducida a 2 roles:

  • Gobierno y Supervisión: una figura integrando las siguientes funciones:
    • Responsable de la Información.
    • Responsable del Servicio.
    • Responsable de la Seguridad.
  • Operación: una figura, reportando a Dirección e integrando las siguientes funciones:
    • Responsable del Sistema de la información.
    • Administrador de Seguridad.

Consecuentemente, en NETAPHORA se establecen los siguientes roles de seguridad que a continuación se describen:

  • Gobierno y Supervisión
  • Operación

Bloques de responsabilidad

NETAPHORA establece tres grandes bloques de responsabilidad:

  • La responsabilidad legal y la especificación de las necesidades o requisitos, que corresponde a los responsables del tratamiento, de la información y del servicio.
  • La supervisión, que corresponde al Responsable de la Seguridad y al Delegado de Protección de Datos, en sus respectivos ámbitos.
  • La operación del sistema de información, que corresponde al Responsable del Sistema.

Responsable de la Información

La persona responsable de la Información tiene competencia suficiente para decidir sobre la finalidad, contenido y uso de la información y determinar los requisitos de seguridad de la información tratada.

Las funciones de la persona responsable de la Información son las siguientes:

  • Determinar los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información.
  • Realizar, junto a las personas Responsables de Servicio y a la persona Responsable de Seguridad, los preceptivos análisis de riesgos, y seleccionar las salvaguardas que se han de implantar.
  • Aceptar los riesgos residuales respecto a los servicios calculados en el análisis de riesgos.
  • Realizar, junto con la persona Responsable de Seguridad, el seguimiento y control de los riesgos.

Responsable del Servicio

La persona responsable del Servicio posee competencia suficiente para decidir sobre la finalidad y prestación del servicio y determinar los requisitos de seguridad de los servicios prestados.

Las funciones de la persona responsable del Servicio son las siguientes:

  • Determinar los niveles de seguridad del servicio tratado y mantener estos niveles actualizados, valorando los impactos de los incidentes que afecten a la seguridad de la información, conforme con lo establecido en el artículo 44 del ENS.
  • Realizar, junto a las personas responsables de la Información y la persona Responsable de Seguridad, los preceptivos análisis de riesgos, y seleccionar las salvaguardas que se han de implantar.
  • Aceptar los riesgos residuales respecto a los servicios calculados en el análisis de riesgos.
  • Notificar a la persona Responsable de Seguridad cualquier incumplimiento de los acuerdos de nivel de servicio relativos a la seguridad de la información por parte de terceros que provean servicios bajo su responsabilidad.
  • Realizar, junto con la persona Responsable de Seguridad, el seguimiento y control de los riesgos, incluyendo los relativos al incumplimiento de los acuerdos de niveles de servicio con terceros.
  • Suspender, de acuerdo con la persona responsable de la Información y la persona Responsable de Seguridad, la prestación de un servicio electrónico o el manejo de una determinada información, si es informado de deficiencias graves de seguridad.
  • Elaborar, junto con la persona Responsable de Seguridad, los procedimientos operativos de seguridad, así como los planes de continuidad y respuesta a incidentes.

Responsable de la Seguridad

La persona Responsable de Seguridad es la encargada de tomar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios de NETAPHORA.

La persona Responsable de Seguridad tiene conocimiento del funcionamiento de la organización, así como amplios conocimientos y experiencia en materia de Seguridad.

Las funciones de la persona Responsable de Seguridad son las siguientes:

  • Determinar las decisiones necesarias para satisfacer los requisitos de seguridad de la información y de los servicios establecidos por sus respectivos responsables.
  • Promover la seguridad de la información manejada y de los servicios prestados por los sistemas de información de NETAPHORA.
  • Analizar y elevar al Comité de Seguridad toda la documentación relacionada con la seguridad de los sistemas de información para su aprobación.
  • Realizar el seguimiento y control del estado de seguridad de los sistemas de información, verificando que las medidas de seguridad son adecuadas a través del análisis de riesgos.
  • Establecer el conjunto de proyectos y actuaciones que conformarán el plan director de seguridad que permitirá implantar las medidas de seguridad propuestas y elevarlo al Comité de Seguridad.
  • Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución.
  • Coordinar la comunicación de NETAPHORA con las autoridades y los grupos de interés.
  • Revisar el Plan de Continuidad de Negocio.
  • Analizar los incumplimientos de la normativa de seguridad, así como de los acuerdos de nivel de servicio relacionados con la seguridad de la información por parte de terceros, y escalarlos al Comité de Seguridad para su gestión.
  • Elaborar informes periódicos de seguridad para el Comité de Seguridad, que incluirán los incidentes más relevantes de cada periodo.
  • Realizar o promover auditorías periódicas para garantizar la correcta aplicación de las medidas de seguridad y el cumplimiento de las normas y procedimientos vigentes en la organización.
  • Elaborar, junto a la Dirección de Sistemas, los procedimientos operativos de seguridad, así como los planes de continuidad y respuesta a incidentes.
  • Garantizar que las políticas, normativas y procedimientos que componen el SGSI son accesibles por el personal de NETAPHORA.
  • Establecer medidas preventivas y/o correctoras ante desviaciones detectadas en las revisiones periódicas del SGSI.
  • Revisar la documentación del Plan de Continuidad de Negocio.
  • Planificar, diseñar e implantar acciones de formación y concienciación específicas en materia del SGSI.
  • Validar los resultados derivados de las revisiones periódicas del cumplimiento de las políticas, procesos y procedimientos del SGSI.
  • Supervisar y controlar los cambios significativos en el contexto que puedan afectar al Sistema de Gestión.
  • Acordar y establecer metodologías y métricas estándares para el SGSI.

Responsable del Sistema (de información)

Es un puesto operativo designado por el Comité de Dirección encargado de la explotación del sistema, dentro del ámbito del Esquema Nacional de Seguridad.

Las funciones de la persona Responsable del Sistema son las siguientes:

  • Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Decidir las medidas de seguridad que aplicarán los suministradores de componentes del Sistema durante las etapas de desarrollo, instalación y prueba del mismo, integrándolas dentro del marco general de seguridad.
  • Acordar, junto con los responsables implicados, la suspensión temporal de información o servicios si existen deficiencias graves de seguridad.
  • Elaborar, junto con la persona Responsable de Seguridad, los procedimientos operativos de seguridad, así como los planes de continuidad y respuesta a incidentes.
  • Notificar a la persona Responsable de Seguridad cualquier incumplimiento de los acuerdos de nivel de servicio relativos a la seguridad de la información por parte de terceros bajo su responsabilidad.
  • Realizar, junto con la persona Responsable de Seguridad, el seguimiento y control de los riesgos, incluyendo los relativos al incumplimiento de niveles de servicio de terceros.

Comité de Seguridad

La coordinación de la seguridad de la información es especialmente importante por exigencia de racionalización del gasto y para evitar disfunciones que propicien la aparición de brechas de seguridad.

El Comité de Seguridad de la Información coordina la seguridad de la información en NETAPHORA, y estará formado por la persona Responsable de la Seguridad y por representantes de otras áreas afectadas. La composición de cada sesión se determinará, además de por los roles señalados, por cualesquiera que se consideren, tanto internos como externos, que aporten al objetivo de esta.

Son funciones típicas del Comité de Seguridad de la Información:

  • Atender las inquietudes de NETAPHORA y de los diferentes departamentos.
  • Informar regularmente del estado de la seguridad de la información a la Dirección General.
  • Promover la mejora continua del SGSI.
  • Elaborar la estrategia de evolución de la organización en seguridad de la información.
  • Coordinar esfuerzos de diferentes áreas en materia de seguridad.
  • Elaborar y revisar la Política de Seguridad de la Información para su aprobación por la Dirección General.
  • Aprobar la Normativa de Seguridad de la información.
  • Definir requisitos de formación y calificación desde el punto de vista de seguridad.
  • Monitorizar riesgos residuales y recomendar actuaciones.
  • Supervisar la gestión de incidentes de seguridad y la coordinación entre áreas.
  • Promover auditorías periódicas de cumplimiento.
  • Aprobar planes de mejora de la seguridad de la información y coordinar distintos planes.
  • Priorizar actuaciones cuando los recursos sean limitados.
  • Velar por que la seguridad se tenga en cuenta en todos los proyectos TIC desde su inicio hasta su puesta en operación.

En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.

Resolver los conflictos de responsabilidad que puedan aparecer entre responsables y/o áreas, elevando los casos en que no tenga autoridad suficiente.

Delegado de Protección de Datos

Ubicación legal: Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Funciones, características o referencias:

  • Informar y asesorar al Responsable, al Encargado y empleados.
  • Supervisar el cumplimiento, incluyendo asignación de responsabilidades, concienciación y formación del personal.
  • Asesorar acerca de la evaluación de impacto y supervisar su aplicación.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto en cuestiones relativas al tratamiento de los datos, incluyendo las consultas previas.

Ubicación legal: Sección 4 y artículo 39 del RGPD.

Procedimiento de designación y renovación

Es función de la Dirección de NETAPHORA designar:

  • Al Responsable de la Información, que puede ser un cargo unipersonal o un órgano colegiado.
  • Al Responsable del Servicio, que, pudiendo ser el mismo que el Responsable de la Información, también puede ser un cargo unipersonal o un órgano colegiado.
  • Al Responsable de la Seguridad, que reportará directamente a la Dirección General y al Comité de Seguridad de la Información.
  • Al Responsable del Sistema, que, en materia de seguridad, reportará al Responsable de la Seguridad.
  • Al Delegado de Protección de Datos.

Las renovaciones de las responsabilidades, cuando haya cambios en NETAPHORA o algún puesto quede vacante, serán revisadas por Dirección.

El acta de nombramiento se recoge en el documento “Acta Nombramiento de Roles”.

6. Formación y concienciación

Con el objetivo de lograr la plena conciencia respecto a que la seguridad de la información afecta a todos los miembros de NETAPHORA y a todas las actividades que se desarrollan, de acuerdo con el principio de Seguridad Integral recogido en el Artículo 5 del ENS.

Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso de seguridad y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo.

Todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos.

El personal de NETAPHORA recibirá la formación e información específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios que se prestan.

Se establecerá un programa de concienciación continua dirigido a todos los miembros de NETAPHORA, en particular a los de nueva incorporación.

La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado en todas las fases de su ciclo de vida.

7. Autorización y control de acceso

El acceso al sistema de información de NETAPHORA está controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, tal y como se detalla en el procedimiento "Procedimiento de autorizaciones". Estos accesos están debidamente autorizados, restringiendo el acceso a las funciones permitidas.

8. Protección de las instalaciones

Los sistemas de NETAPHORA se instalan en áreas separadas, dotadas de un procedimiento de control de acceso, tal y como se detalla en el procedimiento "Arquitectura de Seguridad". La oficina está siempre cerrada y se dispone de un control de llaves y gestión de claves para el acceso a la misma.

9. Seguridad por defecto

Los sistemas de NETAPHORA se diseñarán y configurarán de forma que garanticen la seguridad por defecto:

  • Se retirarán cuentas y contraseñas estándar.
  • Se aplicará la regla de «mínima funcionalidad»:
    1. El sistema debe proporcionar la funcionalidad requerida para que la organización alcance sus objetivos y ninguna otra.
    2. No proporcionará funciones gratuitas, ni de operación, ni de administración, ni de auditoría.
    3. Se eliminará o desactivará, mediante control de configuración, aquello que no sea necesario o inadecuado.
  • Se aplicará la regla de «seguridad por defecto»:
    1. Las medidas de seguridad serán respetuosas con el usuario y le protegerán salvo que se exponga conscientemente a un riesgo.
    2. Para reducir la seguridad, el usuario debe realizar acciones conscientes.
    3. El uso natural, incluso sin consultar manual, será un uso seguro.

El uso ordinario del sistema ha de ser sencillo y seguro; una utilización insegura debe requerir un acto consciente por parte del usuario.

10. Integridad y actualización del sistema

En NETAPHORA todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema, tal y como se detalla en la Normativa de Seguridad. Asimismo, el estado de seguridad de los sistemas —especificaciones de fabricantes, vulnerabilidades y actualizaciones— es monitorizado y conocido en todo momento, reaccionando con diligencia para gestionar el riesgo.

11. Protección de la información almacenada y en tránsito

En NETAPHORA se aplican procedimientos para la gestión segura de soportes de almacenamiento de acuerdo con la política de seguridad.

Se aplicará la debida diligencia y control a los soportes de información que permanecen bajo la responsabilidad de la organización, mediante las siguientes actuaciones:

  • Garantizando el control de acceso con medidas físicas o lógicas, o ambas.
  • Garantizando el respeto a las exigencias de mantenimiento del fabricante (temperatura, humedad, etc.).
  • Aplicando mecanismos criptográficos que garanticen la confidencialidad y la integridad.
  • Empleando algoritmos acreditados por el Centro Criptológico Nacional.
  • Empleando, preferentemente, productos certificados.
  • Utilizando unidades y medios extraíbles solo cuando exista una necesidad de negocio.
  • Prohibiendo el almacenamiento de datos personales en soportes ópticos o USB no autorizados.
  • Borrando de manera segura el contenido de medios reutilizables antes de su reutilización.
  • Requiriendo autorización para la extracción de soportes fuera de las instalaciones cuando sea necesario.
  • Almacenando los soportes en un ambiente seguro según especificaciones del fabricante.
  • Respetando los plazos de vida de los medios de almacenamiento y transfiriendo datos a soportes nuevos cuando proceda.

Se prestará especial atención a la información en equipos portátiles, periféricos, soportes y comunicaciones sobre redes abiertas o con cifrado débil.

NETAPHORA evita proactivamente, mediante copias de seguridad, la pérdida de información, tal y como se detalla en “Uso de equipos, servicios e instalaciones”. Toda información en soporte no electrónico está protegida bajo llave con el mismo grado de seguridad.

12. Prevención ante otros sistemas de información interconectados

NETAPHORA analiza los riesgos derivados de la interconexión del sistema con otros sistemas a través de redes, controlando y monitorizando el punto de unión, tal y como se indica en la Normativa de Seguridad.

13. Registro de actividad

NETAPHORA registra las actividades de los usuarios y de los administradores del sistema, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

Se protegen los sistemas de registro y los registros en sí de manipulaciones indebidas y accesos no autorizados.

Todo ello se recoge con detalle en el procedimiento “PROCEDIMIENTO DE AUTORIZACION”.

14. Incidentes de seguridad

NETAPHORA dispone de un sistema de detección y reacción frente a código dañino, garantizando un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información, incluidos los de comunicación de eventos, vulnerabilidades y debilidades.

Estos procedimientos cubren detección, criterios de clasificación, análisis y resolución, cauces de comunicación a las partes interesadas y registro de actuaciones, con el fin de favorecer la mejora continua.

15. Continuidad de la actividad

NETAPHORA evita de manera proactiva, mediante copias de seguridad, la pérdida de información. Asimismo, dispone de los mecanismos necesarios que garantizan la continuidad de las operaciones en caso de pérdida de los medios habituales de trabajo, a través de los procesos de continuidad de negocio de la organización.

16. Mejora continua del proceso de seguridad

El proceso integral de seguridad implantado en NETAPHORA será actualizado y mejorado de forma continua. Los procesos de ingeniería se actualizan frecuentemente para garantizar la mejora continua y la adecuación a nuevas amenazas potenciales.

17. Estructuración de la documentación de seguridad del sistema

La estructuración de la documentación se basa en el ENS, definiendo los documentos necesarios para dar soporte a sus requisitos, dentro del sistema de gestión documental.

Los principales documentos se alojan en la raíz del gestor documental, bajo el directorio “ENS”, mientras que la documentación auxiliar (procedimientos y registros) se aloja en subdirectorios que referencian el requisito específico del esquema.

Formato

Los documentos contarán con un formulario de control documental, después del índice, que contendrá:

  • Título del documento
  • Código del documento
  • Clasificación de la información (según normativa de seguridad)
  • Versión
  • Autor y fecha
  • Historial de cambios (versión, fecha y descripción)

Asimismo, todas las páginas contarán con un encabezado indicando el título del documento.

Adicionalmente, todas las hojas estarán numeradas e indicarán la clasificación del documento.

Gestión y acceso

Únicamente el propietario de la información podrá aprobar y validar el acceso a la documentación.

Todos los cambios entre versiones se indicarán en el control de versiones para su fácil identificación.

El acceso al sistema de información se regula mediante las medidas del procedimiento “PROCEDIMIENTO DE AUTORIZACION”.

18. Gestión de riesgos

Sobre todos los sistemas sujetos a esta Política se realiza un análisis de riesgos, evaluando amenazas y riesgos. Se sigue la metodología MAGERIT v.3.

Este análisis se repetirá:

  • Regularmente, al menos una vez al año
  • Cuando cambie la información manejada
  • Cuando cambien los servicios prestados
  • Cuando ocurra un incidente grave de seguridad
  • Cuando se reporten vulnerabilidades graves

Para armonizar los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información y servicios. Asimismo, dinamizará los recursos necesarios para atender a las necesidades de seguridad.

19. Desarrollo de la Política de Seguridad de la Información

Esta Política se desarrolla mediante los siguientes documentos:

  • Normas de Seguridad
  • Procedimientos de Seguridad
  • Política de firma electrónica
  • Valoración del Sistema de Información

La normativa de uso de recursos (equipos, servicios e instalaciones) está a disposición de todo el personal que necesite conocerla, en particular quienes utilicen, operen o administren los sistemas de información y comunicaciones de NETAPHORA.

20. Obligaciones del personal

Todos los miembros de NETAPHORA tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para su difusión.

Todos los miembros de NETAPHORA atenderán a una sesión de concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua, especialmente para nuevas incorporaciones.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación obligatoria antes de asumir responsabilidades y cuando cambien de puesto o funciones.

21. Terceras partes

Cuando NETAPHORA preste servicios a otros organismos o maneje su información, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales de reporte y coordinación entre Comités de Seguridad y procedimientos de actuación ante incidentes.

Cuando NETAPHORA utilice servicios de terceros o ceda información, dichas partes conocerán esta Política y la Normativa de Seguridad aplicable, quedando sujetas a sus obligaciones. Se establecerán procedimientos específicos de reporte y resolución de incidencias y se garantizará la concienciación de su personal.

Si algún aspecto de la Política no pudiera ser satisfecho por un tercero, se requerirá informe del Responsable de Seguridad con los riesgos y su tratamiento, que deberá ser aprobado por los responsables de la información y servicios afectados.

22. Aprobación y entrada en vigor

Texto aprobado el día 13 de septiembre de 2025 por el Comité de Seguridad.

Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

23. Procedimiento de revisión

La revisión anual de esta Política de Seguridad de la Información será competencia del Comité de Seguridad de NETAPHORA y se difundirá para conocimiento de todas las partes afectadas.

24. Datos de carácter personal

NETAPHORA trata datos de carácter personal. Todos los sistemas de información de NETAPHORA se protegerán en función de los criterios de riesgo establecidos, su naturaleza y finalidad, tal y como se indica en su Política de Protección de Datos.