1. Sistema de Gestión de Seguridad de la
Información (S.G.S.I.)
Formación Empleados
17/05/2023
MUGE-SI-PLN-Plan de Formación v2.2
Elaborado por: Gerencia de Calidad
Revisado por: Responsable de Seguridad
2. 2
¡IMPORTANTE!
LEE DETENIDAMENTE ESTE DOCUMENTO.
LOS EMPLEADOS DE PANEL Y POLAR DEBEN CUMPLIR CON LAS NORMAS Y CONTROLES DE SEGURIDAD
ESTABLECIDOS EN EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (S.G.S.I.).
TODOS LOS EMPLEADOS TIENEN POR TANTO LA OBLIGACIÓN DE FORMARSE EN ESTOS TÉRMINOS A TRAVÉS
DEL PRESENTE DOCUMENTO.
AL FINAL DE LA LECTURA, DEBERÁS ENVIARNOS TU CONFIRMACIÓN DE QUE HAS LEÍDO Y ENTENDIDO EL
CONTENIDO DE ESTA FORMACIÓN, A TRAVÉS DEL FORMULARIO ON-LINE QUE ENCONTRARÁS EN EL PORTAL
DEL EMPLEADO, BAJO ESTE DOCUMENTO.
ASIMISMO, ESTE CURSO SERÁ CARGADO AUTOMÁTICAMENTE EN TU PDI, Y TU TUTOR DEBERÁ INCLUIR
POSTERIORMENTE LA FECHA FIN DE REALIZACIÓN EN EL PRÓXIMO INFORME DE SEGUIMIENTO/FEEDBACK.
MUCHAS GRACIAS POR TU COLABORACIÓN.
3. 3
INDICE
1. ¿Qué es el SGSI? Alcance
2. ¿A quién afecta? Roles
3. Objetivos de la formación
4. ¿Qué debo saber sobre...?
4.1. Control de Accesos
4.2. Seguridad Física y Ambiental
4.3. Seguridad en las Operaciones y Comunicaciones
4.4. Clasificación de la Documentación
4.5. Gestión de Incidencias de Seguridad
4.6. Continuidad del Negocio
4.7. Cumplimiento Legal. Propiedad intelectual y LOPD
4.8. Auditorías
4
7
11
13
13
18
21
25
27
31
35
37
5. 5
1. ¿Qué es el SGSI?
El S.G.S.I. es el Sistema implantado en Panel para gestionar la Seguridad de la
Información que se genera en la empresa, con el objetivo de salvaguardarla ante
amenazas.
Consiste en un conjunto de medidas, controles y procedimientos para garantizar la
Seguridad de la Información en el desarrollo de las actividades de la empresa.
Está basado en la norma ISO 27001, aprobada y publicada como estándar
internacional en octubre de 2005.
6. 6
1. Alcance
Los sistemas de información que soportan las actividades de comercialización
prestación de servicios, consultoría y desarrollo de software de Panel Sistemas
Informáticos …
… llevadas a cabo por parte de todo el personal que trabaja bajo el Sistema de
Información Corporativo de la Organización, …
… conforme a la Declaración de Aplicabilidad v10.1 – relación completa de controles de
seguridad de la información evaluables según la norma -
8. 8
2. ¿A quién afecta?
COMITÉ
DE
SEGURIDAD
Director General –
Javier Zárate Llanos
Responsable de Seguridad –
Miguel Ángel Nicolao Echevarne
Responsable de Seguridad Física –
Alfredo González Armengod
Responsable de Sistemas –
Sergio Martínez Sánchez
Coordinadora de Seguridad –
Mª del Pino Martínez Doreste
Es responsable de la
definición, aprobación,
comunicación y
revisión de la Política
de Seguridad de la
Organización, así como
del seguimiento,
mantenimiento y
operación del SGSI.
9. 9
2. ¿A quién afecta?Roles
DOPs
SIC
RRHH
DAF
CAL
EMP
• Actúa como Coordinador de Seguridad de la Información, y
es responsable de garantizar la seguridad de los procesos
relacionados con Calidad y Medio Ambiente, proveedores de
servicios en su área, y de la información confidencial de su
área.
• Responsable de garantizar la seguridad de los
procesos relacionados con Suministradores, de
la Seguridad Física de activos y de la información
confidencial de su área.
• Responsable de garantizar la seguridad
de los procesos relacionados con los
Recursos Humanos, y de la información
confidencial de su área.
•Actúa por delegación del Responsable de
Sistemas y el Responsable de Seguridad en
todas las actividades derivadas de la
operación del SGSI.
•Responsable de garantizar la seguridad de los
procesos relacionados con Clientes, proveedores
de servicios en proyectos, desarrollo de la
actividad en proyectos, y de la información
confidencial de su área.
DIRECCIONES
• ver detalle en pág. siguiente
10. 10
2. ¿A quién afecta?Roles
EMPLEADOS
• Personal con acceso al Sistema de Información
• Personal con acceso físico a las Oficinas Centrales
• Todos somos responsables de cumplir con los controles y medidas de
seguridad establecidos en el SGSI.
• En caso de violaciones intencionadas de seguridad, podría ser aplicable el
proceso disciplinario definido en el Estatuto de los Trabajadores en su Capítulo
IV, de Faltas y sanciones de los trabajadores.
• Todos los empleados tenemos la obligación de formación en temas de
Seguridad de la información en los términos establecidos en la instrucción de
seguridad relativa a recursos humanos.
12. 12
3. Objetivosde la formación
“CONCIENCIACIÓN,
FORMACIÓN Y
CAPACITACIÓN”
Permitir mejorar el conocimiento, educación y capacitación del personal en materia
de seguridad de la información.
• Conocer las normas, políticas y procedimientos de seguridad de la información en
nuestra Organización.
• Capacitar a los empleados en el uso correcto de los medios de procesamiento de la
información, procedimiento de registro, uso de paquetes de software, etc.
• Concienciar a todos los empleados sobre las posibles amenazas, riesgos y problemas
que pueden afectar a los sistemas de la Organización y cómo actuar ante ellos.
• Formación en torno a las normativas o leyes aplicables en materia de seguridad de la
información
14. 14
4. ¿Quédebo saber sobre…?4.1 Controlde Accesos
• La longitud mínima de la contraseña de acceso al Sistema Corporativo debe ser:
• de 8 caracteres
• combinación de mayúsculas y minúsculas
• números
• Queda terminantemente prohibido el envío de contraseñas a través de mensajes de correo
electrónico, o medios de comunicación no seguros, sin permiso de la Dirección.
• Si no hubiera más opción, enviar en correos distintos. En todo caso evitar el envío de las
credenciales completas en un mismo mensaje (¡separar usuario y contraseña!).
• Cambio de contraseñas predeterminadas del fabricante cuando se instale nuevo software.
“El uso de contraseñas no robustas implica vulnerabilidad del sistema”
15. 15
4. ¿Quédebo saber sobre…?4.1 Controlde Accesos
• No almacenar nunca contraseñas en papel, ni dispositivos electrónicos sin la protección
adecuada.
• Solicitar el cambio de contraseña de acceso cuando exista el menor indicio de un posible
peligro.
• No compartir las claves secretas individuales.
• Asegurar la confidencialidad de las contraseñas, y de cualquiera que pueda conocer debido a
su puesto o responsabilidad.
• No usar la misma clave personal para propósitos comerciales y no-comerciales.
• Evitar siempre la utilización de recordatorios de contraseñas. Queda terminantemente
prohibido su uso en sitios web.
16. 16
4. ¿Quédebo saber sobre…?4.1 Controlde Accesos
• En todo caso, en la pantalla del ordenador no se podrán mantener accesos directos a
documentos, archivos, directorios, etc sujetos a restricciones de acceso (información
confidencial o de proyectos, directorios de código fuente, etc.)
• Cerrar siempre la sesión activa cuando termine, asegurándola por un mecanismo de bloqueo,
como por ejemplo contraseña protegida o bloqueo automático de pantalla.
• Deberá desconectarse de aplicaciones o servicios de red cuando ya no son necesarios.
• Los equipos o dispositivos móviles de uso no autorizado deben tener una cerradura con llave o
un control equivalente cuando no están en uso.
• Los empleados deberán conservar la pantalla del ordenador libre de
accesos directos a información, servicios o medios de procesamiento
que puedan suponer un riesgo para la seguridad de la información.
17. 17
4. ¿Quédebo saber sobre…?4.1 Controlde Accesos
• Las mesas de trabajo de los empleados deberán estar limpias y ordenadas y, en ningún caso,
deberán quedar documentos o información confidencial sobre las mismas.
• Si se está utilizando temporalmente documentación confidencial en papel, deberá devolverse a
su lugar de almacenamiento en cuanto termine su uso, o custodiarla bajo llave en los períodos
de abandono temporal del puesto de trabajo.
• No deben utilizarse fotocopiadoras y otras tecnologías de reproducción (por ejemplo,
escáneres o cámaras digitales) de manera no autorizada.
• La información sensible o clasificada como Confidencial debe ser retirada de las impresoras de
inmediato.
19. 19
4. ¿Quédebo saber sobre…?4.2 SeguridadFísica y Ambiental
• Los visitantes que acudan a las oficinas de PANEL estarán siempre acompañados por un empleado y no se
permitirá el acceso, salvo autorización expresa de la Dirección, a ninguna persona fuera del horario laboral o sin
que alguien de la Organización esté presente.
• En la oficina no existen áreas de acceso público ni de carga y descarga – únicamente en el garaje y tras
acordarse con los responsables correspondientes -.
• Los puestos de los trabajadores contarán con una orientación que dificulte que ninguna persona no autorizada
pueda observar los procesos de información durante su uso.
• Se mantendrá vigilada la temperatura de la sala de servidores, con el objetivo de detectar si en algún momento
se superan los límites adecuados para los sistemas de computación.
• Todos los equipos de comunicaciones (por voz y datos) están situados también de forma que se evite su daño o
destrucción, con una elevación suficiente y de forma que no se puedan producir caídas o golpes.
• No está permitido comer y/o beber junto a los equipos.
• En la empresa se observarán las normas de seguridad y sanidad que sean exigibles en cada
momento.
20. 20
• El empleado es responsable de SU EQUIPO en todo momento:
• Deberá respetar las medidas de seguridad establecidas para los equipos dentro de las
instalaciones.
• No dejar desatendido el equipo en lugares públicos, y transportarlo siempre como equipaje de
mano.
• Proteger el equipo debidamente mediante los maletines correspondientes, fundas, etc.
• No estará permitido el uso de redes públicas (WIFI) para el trabajo desde fuera de las
instalaciones, y en su caso conectándose a través del móvil.
4. ¿Quédebo saber sobre…?4.2 SeguridadFísica y Ambiental
21. 21
4. ¿Qué debo saber sobre…?
4.3 Seguridad en la Operaciones y Comunicaciones
22. 22
• Evitar la descarga de archivos de sitios que no sean de confianza o de los que no se conoce el
origen.
• Escanear con el antivirus todos los dispositivos externos que puedan contener código malicioso
(llaves USB, CD's, etc.) antes de permitir su exploración desde el equipo local.
• Comprobación de los adjuntos y descargas de los correos electrónicos. Para ello se utiliza por
defecto la plataforma de filtrado de correo y se refuerza con la protección contra amenazas de
correo del antivirus instalado.
• Asegurarse de que el software antivirus se encuentra vigente y correctamente actualizado.
4. ¿Quédebo saber sobre…?4.3 Seguridaden las Operacionesy Comunicaciones
• No se podrá instalar ningún software que no esté autorizado por el
Responsable de Seguridad. Consultar el Catálogo de Software Homologado
publicado en el Portal del Empleado
23. 23
• Cuando sea necesario el envío de información confidencial a través de sistemas de mensajería
electrónica, se aplicarán en la medida de lo posible las siguientes medidas de seguridad:
• Envío de ficheros encriptados (.zip) y protegidos por contraseña.
• Envío de documentos en formato .pdf para evitar la alteración del contenido.
• Se solicitará siempre acuse de recibo y lectura.
• Cuando no sea factible la aplicación de las medidas mencionadas, se incluirán en la
comunicación electrónica las indicaciones oportunas para el manejo seguro de dicha
información.
• Todos los mensajes electrónicos irán acompañados de los correspondientes avisos legales
de seguridad y confidencialidad de datos.
4. ¿Quédebo saber sobre…?4.3 Seguridaden las Operacionesy Comunicaciones
24. 24
• Al utilizar los servicios de banca electrónica, se tendrán en cuenta las siguientes
consideraciones:
• Siempre se utilizarán comunicaciones encriptadas.
• Solo se podrán hacer compras o pagos a proveedores aprobados.
• Cuando se vaya a realizar el pago se comprobará la información de seguridad facilitada
por el navegador (uso de conexiones https, y páginas firmadas por organismos de
confianza), comprobando que se trata de una página segura.
• Nunca se realizarán pagos desde ubicaciones inseguras (sitios públicos o redes Wifi no
seguras), quedando limitadas las operaciones electrónicas a las instalaciones de la
Organización o en los domicilios declarados.
• Una vez realizadas las transacciones electrónicas se comprobaran los cargos hechos en la
cuenta bancaria para constatar que todo es correcto.
4. ¿Quédebo saber sobre…?4.3 Seguridaden las Operacionesy Comunicaciones
25. 25
4. ¿Qué debo saber sobre…?
4.4 Clasificación de la Documentación
26. 26
• La documentación en PANEL está clasificada de la siguiente forma:
• De Uso Interno, carácter leve: No existe restricción en su difusión a colaboradores de la
Organización (empleados y clientes). No debe darse a conocer a terceros sin autorización.
Organigramas, políticas, procesos, metodologías, programas, aplicaciones...
• De Uso Interno, carácter importante: Sólo está disponible y puede difundirse a empleados de
determinadas áreas o departamentos de la Organización (empleados), incluyendo clientes. Datos
de clientes, facturas, ofertas y contratos comerciales, presupuestos...
• Confidencial: Requiere el máximo grado de protección y su difusión no está autorizada. Sólo tienen
acceso el personal cuyo ámbito de trabajo lo requiera y tenga autorización por parte de la
Dirección. Expediente empleado, información legal y financiera, configuración red, …
4. ¿Quédebo saber sobre…?4.4 Clasificaciónde la Documentación
• Pública: No existe ninguna restricción en su difusión, es información
comercial y publicitaria. Web, folletos, catálogos, presentaciones...
27. 27
4. ¿Qué debo saber sobre…?
4.5 Gestión de Incidencias de Seguridad
28. 28
• Todos los empleados tienen la obligación de reportar cualquier incidencia en la seguridad de
la información lo más rápidamente posible.
• Para ello, se utilizará la herramienta corporativa de Gestión de Peticiones TI de la Organización
(GPTI https://soportesic.panel.es), existiendo como alternativa justificada la cuenta de correo
electrónico: responsable.seguridad@panel.es
• El empleado deberá registrar la incidencia como de tipo “WP-SecInfo” e incluirá una
descripción detallada de la misma.
• Si no está seguro, será el Responsable de Seguridad quien asigne la categoría correspondiente
en el sistema, revisará la incidencia y se llevará a cabo la acción correctiva/preventiva asociada.
4. ¿Quédebo saber sobre…?4.5 Gestiónde Incidenciasde Seguridad
29. 29
• Se clasificarán explícitamente como Incidencias de Seguridad aquellas que sean del tipo:
• Pérdida del servicio, equipos o medios.
• Errores humanos.
• Incumplimiento de las políticas o estándares de seguridad.
• Vulneraciones de los acuerdos de seguridad física.
• Cambios del sistema no controlados.
• Violaciones de acceso.
• Incidencias que afecten al control de acceso a las instalaciones.
• Incidencias relacionadas con Datos de Carácter Personal (LOPD).
• El mal funcionamiento o cualquier otra conducta anómala del sistema (mal funcionamiento del software,
incidencias en las aplicaciones, correo electrónico, etc.) pueden ser también un indicador de un ataque a
la seguridad o una verdadera violación de la seguridad, por lo tanto, el personal que gestiona los sistemas
y redes siempre evaluará si notificarlo como una incidencia de seguridad de la información en GPTI.
4. ¿Quédebo saber sobre…?4.5 Gestiónde Incidenciasde Seguridad
30. 30
RECUERDA:
• El mal funcionamiento o cualquier otra conducta anómala del sistema pueden ser un indicador de un
ataque a la seguridad o una verdadera violación de la seguridad, por lo tanto, siempre deberá
notificarse como una incidencia.
• Todos los usuarios deberán reportar cualquier debilidad sospechada u observada en el sistema o los
servicios, para lo cual se seguirá el mismo procedimiento que el especificado en el apartado anterior.
• Ningún empleado deberá probar la debilidad de seguridad sospechada debido al riesgo de causa de
daños graves al sistema de información.
• Únicamente cuando se haya notificado dicha debilidad se realizará una prueba controlada (por el
Responsable de Seguridad) de la misma.
4. ¿Quédebo saber sobre…?4.5 Gestiónde Incidenciasde Seguridad
32. 32
La empresa dispone de un Plan de Continuidad del Negocio con el objetivo de aumentar la probabilidad
de continuidad de las funciones críticas de la Organización en caso de que un incidente o contingencia
imprevista interrumpa los principales procesos de negocio, como por ejemplo:
• Los que causen un daño físico en las instalaciones o equipos, como fuego, humo, daños por agua, o
desastres regionales inesperados como huracanes o inundaciones.
• Los que afecten de forma indirecta la posibilidad de acceso a las instalaciones, como evacuación de
emergencia por amenaza de bomba, o amenazas externas tales como incendios en las instalaciones
cercanas, fuga de gases tóxicos, etc.
• Desastres que puedan impedir el acceso normal al personal encargado de las operaciones informáticas,
aunque las instalaciones estén intactas, tales como grandes nevadas, inundaciones, etc.
• Cualquier incidente externo que pudiera potencialmente causar una interrupción de las operaciones del
negocio, tales como la pérdida de los servicios de suministro eléctrico o de telecomunicaciones.
4. ¿Quédebo saber sobre…?4.6 Continuidaddel Negocio
33. 33
• Cualquier incidente que afecte al funcionamiento del hardware o del software y que suponga una interrupción
superior a las 24 horas.
• Cualquier incidente que suponga la paralización de actividades de la Organización por motivos ajenos a la tecnología,
tales como problemas laborales propios o del sector o problemas laborales que afecten al área geográfica donde se
encuentra ubicada la Organización.
4. ¿Quédebo saber sobre…?4.6 Continuidaddel Negocio
El Plan de Continuidad proporciona un enfoque organizado y consolidado para dirigir las actividades de respuesta y
recuperación, evitando la confusión, facilitar la toma de decisiones en momentos de tensión y proporcionar una
respuesta rápida y apropiada a cualquier incidente imprevisto.
Equipo de Recuperación
Equipo de Gestión de Incidencias. Activación del Plan de Continuidad:
Teléfono móvil
Teléfono del
trabajo
Apellidos
Nombre
+34 650 523 511
+34 914057850
Nicolao Echevarne
Miguel Ángel
+34 618 988 975
+34 914057850
Martínez Sánchez
Sergio
Equipo de Operaciones Informáticas:
Teléfono móvil
Teléfono del
trabajo
Apellidos
Nombre
+34 618 988 975
+34 914057850
Martínez Sánchez
Sergio
34. 34
4. ¿Quédebo saber sobre…?4.6 Continuidaddel Negocio
Teléfonomóvil
Teléfonodel
trabajo
Apellidos
Nombre
+34 650 524 769
+34 914057843
González Armengod
Alfredo
+34 608 496 916
+34 914057878
Mora Fernández
Yoandra
Teléfonomóvil
Teléfonodel
trabajo
Apellidos
Nombre
+34 680 661 669
+34 914057844
Garrido Martínez
Lucia
+34 608 496 916
+34 914057878
Mora Fernández
Yoandra
+34 620 819 185
+34 914057845
Rivera Moreno
Pablo
Teléfonomóvil
Teléfonodel
trabajo
Apellidos
Nombre
+34 650 523 511
+34 914057850
Nicolao Echevarne
Miguel Ángel
+34 650 524 769
+34 914057843
Gonzalez Armengod
Alfredo
+34 650 521 934
+34 914057878
Empresa Externa
Equipo de Administración:
Equipo de Atención a Usuarios:
Equipo de Inmuebles:
MDPMD0
35. Diapositiva 34
MDPMD0 Revisar si se mantienen estas personas y números de contacto
Maria Del Pino Martinez Doreste; 2023-04-26T07:36:56.832
37. 36
4. ¿Quédebo saber sobre…?4.7 CumplimientoLegal. Propiedadintelectualy RGPD
En general, se prohíbe el uso, copia o archivo de cualquier documento o software sometido a
derechos de propiedad intelectual cualquiera que sea su soporte, físico o electrónico, sin la
autorización de la dirección.
• En caso de que se adquiera software libre o cualquier documento no sometido a derechos de
propiedad, el usuario deberá revisar previamente el acuerdo de licencia o copyright del documento en
cuestión.
• Por otra parte, se prohíbe la distribución o cesión de cualquier software o información propiedad de la
Organización, si dicha distribución no ha sido autorizada por el Responsable de Seguridad y/o la
Dirección.
• En caso de que se incumplan los derechos de propiedad, el poseedor del documento o software que ha
causado dicho incumplimiento será el responsable del mismo, al que se le aplicará el régimen
sancionador establecido por la Organización.
• Asimismo, los empleados deben cumplir todas las medidas de seguridad establecidas en el Sistema de
Gestión de la Seguridad, así como las firmadas en los correspondientes anexos al Contrato de Trabajo
para garantizar el cumplimiento del Reglamento General de Protección de Datos.
39. 38
4. ¿Quédebo saber sobre…?4.8 Auditorías
• El S.G.S.I. será auditado periódicamente (anualmente), tanto internamente por el área de
Calidad y el equipo de auditores internos, como externamente por la entidad certificadora, en
las siguientes áreas:
Director General
Responsable Seguridad Información
Responsable de Sistemas
Coordinador de Seguridad
RRHH
DAF
DOPs
SIC
CAL
Muestra aleatoria
del 10% personal
en oficina
Muestra aleatoria
del 10% equipos
en oficina
Comité de
Seguridad
Responsable de Seguridad Física
Direcciones Empleados Equipos
40. 39
4. ¿Quédebo saber sobre…?4.8 Auditorías
El COMITÉ DE SEGURIDAD es auditado con el fin de comprobar que ha llevado a
cabo todas las actividades de revisión y seguimiento periódico del SGSI de la
Organización.
Los EMPLEADOS y las DOPs son auditados con el fin de comprobar que han
entendido y aplican las instrucciones y controles en materia de seguridad que
requiere el S.G.S.I., los cuales han sido resumidos en el presente documento.
Comité de
Seguridad
Empleados
DOPs
41. 40
4. ¿Quédebo saber sobre…?4.8 Auditorías
• No se dispone de material con derechos de propiedad sin que haya evidencia de la adquisición de los
mismos: imágenes, archivos de audio, video, etc.
• Se dispone de las copias de las licencias, discos o manuales que evidencien la propiedad de las
mismas.
• No se excede el número de usuarios máximos permitidos.
• No se instala software o productos con licencia propietaria sin autorización previa, y que se cumplen
los acuerdos de licencia del software utilizado.
• Los protectores de pantalla de los equipos de los usuarios se activan automáticamente tras 15
minutos de inactividad, bloqueando a su vez el equipo. En su reanudación, será necesaria la inserción
del usuario y contraseña para efectuar el desbloqueo, permitiéndose un máximo de 5 intentos.
• El escritorio del equipo de trabajo está libre de accesos directos a información, servicios o medios de
procesamiento que puedan suponer un riesgo para la seguridad de la información.
• Las mesas deberán estar libres de documentos o información confidencial sobre las mismas.
• Toda la documentación o información confidencial que temporalmente esté manejando un
empleado, deberá devolverse a su archivo o custodiarla bajo llave, si el empleado se ausenta del
puesto de trabajo.
EQUIPOS
Los EQUIPOS se auditan con el fin de comprobar que:
42. C/ Josefa Valcárcel nº 9
28027 Madrid – España
Tel.: +34 91 405 78 78
www.panel.es
seguridad.sgsi@panel.es
Panel Sistemas Informáticos, S.L.
El cambio está en TI
¿Hablamos?
@PanelSistemas
panelsistemasinformticos
panelsistemas