La Fundación Dialnet ha establecido un alineamiento con la gestión de la seguridad de la información según lo establecido por la norma jurídica Esquema Nacional de Seguridad, reconociendo como activos estratégicos, la información, los servicios y los sistemas que los
soportan.

El objetivo fundamental de la implementación de la presente Política de Seguridad es establecer las bases sobre las que tanto empleados internos, como terceras partes, puedan acceder y hacer uso de los servicios ofrecidos por la Fundación Dialnet de forma segura y confiable.

La Política de Seguridad de la Información define el marco global para la gestión de la seguridad de la información protegiendo todos los activos de la información, y garantizando la continuidad en el funcionamiento de los sistemas. A través de estos principios, se pretende minimizar los riesgos derivados de las posibles fallas en la seguridad, asegurando el cumplimiento de los objetivos de la organización ante un hipotético incidente de seguridad de la información. 

OBJETIVOS GENERALES

Para ello, la dirección y la organización establecen los siguientes objetivos generales en materia de seguridad de la información:

1. Contribuir desde la gestión de seguridad al cumplimiento de la misión y objetivos establecidos por la Fundación Dialnet.
2. Disponer de las medidas de control y recursos necesarios para garantizar el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, esencialmente en lo relativo a la protección de datos de carácter personal y a la prestación de servicios a través de medios electrónicos y/o telemáticos.
3.  Asegurar la accesibilidad, confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
4. Asegurar la prestación continuada de los servicios, tanto de forma preventiva como reactiva ante los posibles incidentes de seguridad.
5. Proteger los activos de la información de la Fundación Dialnet y la tecnología que los soporta frente a cualquier amenaza, intencionada o accidental, interna o externa, con el fin de asegurar la seguridad de estos.
6. Proporcionar la formación y concienciación necesaria a sus empleados en materia de seguridad de la información.

Esta Política de Seguridad es la base del compromiso continuo de la Fundación Dialnet para establecer y mejorar sus políticas y procedimientos de seguridad de la información, así como para la difusión y consolidación de la cultura de seguridad de la información.

El presente documento se aplicará a toda la información, sistemas y servicios de la Fundación Dialnet. A estos efectos se entiende por la Fundación Dialnet:

Las oficinas localizadas en la C/ Barriocepo 10. 26001 Logroño. La Rioja. España.

Esta política no se limita a los datos de carácter personal, y es independiente de que el tratamiento se realice de forma manual o automatizada. 

El alcance del presente documento no se limita a los empleados internos de la Fundación Dialnet, sino también a cualquier entidad externa con acceso a los activos de la información de la organización.

La legislación en materia de seguridad de información, que debe servir de referencia, se actualiza de forma continua y queda reflejada en el documento “Anexo: Legislación aplicable”.

Se distinguirán dos tipos de actividades de revisión en lo referente al texto presentado la Política de Seguridad de la Información:

REVISIONES PERIÓDICAS SISTEMÁTICAS

Deberán realizarse al menos con una periodicidad anual, o cuando se detecten incidentes o cambios en el marco legal que puedan cuestionar la validez de dicha Política. La revisión de la Política de Seguridad de la Información deberá garantizar que ésta se encuentra alineada con la estrategia, la misión y visión de la Fundación Dialnet en materia de seguridad de la información, y que asegura el cumplimiento de los objetivos de control establecidos.

REVISIONES NO PLANIFICADAS

Estas revisiones deberán realizarse en respuesta a cualquier evento o incidente de seguridad que pudiera suponer un incremento significativo del nivel de riesgo actual o haya causado un impacto en la seguridad de la información de la Fundación Dialnet.

La seguridad de la información corresponde a los siguientes órganos: Comité de Seguridad de la Información, Responsable de la Información, Responsable de Gestión, Responsable del Servicio,
Responsable de Seguridad y, en caso de que sea pertinente, Responsables de Seguridad Delegados.

COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

El Comité de Seguridad de la Información es el organismo que centraliza la gestión de seguridad en la Fundación Dialnet
Cuando lo justifique la complejidad, la separación física de sus elementos, el número de activos de la información o del número de sistemas que se manejen, podrán crearse Comités de Seguridad delegados, dependiente funcionalmente del principal, que serán responsables en su ámbito de las actuaciones que se les deleguen.

RESPONSABLE DE LA INFORMACIÓN

Será la persona con competencia suficiente para decidir sobre la finalidad, contenido y uso de dicha información y determinará, dentro del marco establecido, los requisitos de seguridad de la información tratada. A tal efecto:

1. Determinará los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información, conforme a lo establecido en el marco regulador.
2. Realizará, junto a los Responsables del Servicio y del Responsable de Seguridad, los preceptivos análisis de riesgos, y seleccionarán las salvaguardas que se han de implementar.
3. Aceptará los riesgos residuales respecto de la información, obtenidos a partir del análisis de riesgos.
4. Realizará el seguimiento y control de los riesgos, junto con el Responsable de Seguridad.

RESPONSABLE DEL SERVICIO

Será la persona con competencia suficiente para decidir sobre la finalidad y prestación de dicho servicio y determinará dentro del marco establecido los requisitos de seguridad de los servicios prestados. A tal efecto:

1. Realizará, junto a los Responsables de la Información y de Seguridad, los preceptivos análisis de riesgos, y seleccionarán las salvaguardas que se han de implantar.
2. Aceptará los riesgos residuales respecto de la información calculados en el análisis de riesgos.
3. Realizará el seguimiento y control de los riesgos, con la participación del Responsable de Seguridad.
4. Suspender, de acuerdo con el Responsable de la Información y el Responsable de Seguridad, la prestación de un servicio electrónico o el manejo de una determinada información, si es informado de deficiencias graves de seguridad.

RESPONSABLE DE SEGURIDAD

Será la persona que determinará las decisiones para satisfacer
los requisitos de seguridad de la información y de los servicios. A tal efecto:

1. Coordinará y controlará las medidas para proteger los datos de carácter personal.
2. Elaboración de la Política de Seguridad de la Información para su aprobación por parte de la Dirección.
3. Propondrá al Responsable del Servicio la determinación de los niveles de seguridad en cada dimensión de seguridad siempre que se le solicite.
4. Realizará y promoverá auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información.
5. Realizará el seguimiento y control del estado de seguridad de los sistemas de información de la Fundación Dialnet.
6. Propondrá al Comité de Seguridad las normas de seguridad y los procedimientos de seguridad.

RESPONSABLE DE GESTIÓN

Será la persona encargada de gestionar y coordinar los procesos en materia de seguridad de la información, y de mantener y actualizar la documentación relacionada.

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la Política de Seguridad de la Información, éste será resuelto por la Dirección de La Fundación Dialnet, y prevalecerán las mayores exigencias derivadas de la protección de datos de carácter personal.

La Fundación Dialnet clasificará e inventariará los activos de la información en virtud de su naturaleza. El nivel de protección, medidas de seguridad y rigurosidad en los protocolos se aplicará en base a los resultados de dicha clasificación.

Cuando los sistemas de la información de La Fundación Dialnet bajo el alcance del Esquema Nacional de Seguridad gestione datos de carácter personal, le será de aplicación lo dispuesto por la legislación europea y nacional de protección de datos, sin perjuicio de los requisitos establecidos en el marco regulatorio del ENS. Todos los sistemas de la información se ajustarán a los niveles requeridos por las normativas de protección de datos de aplicación.

Todos los sistemas sujetos a esta Política deberán ser sometidos a un análisis y gestión de los riesgos, evaluando sus activos, así como las amenazas y vulnerabilidades a los que se encuentran expuestos, y proponiendo las contramedidas necesarias para mitigar aquellos riesgos fuera de los límites aceptables. Este proceso precisa de un control continuo de los cambios realizados en los sistemas por lo que este análisis se repetirá:

• Al menos una vez al año (mediante revisión y aprobación formal).
• Cuando cambie la criticidad de la información manejada.
• Cuando cambien los servicios prestados.
• Cuando tenga lugar un incidente grave de seguridad.
• Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, se establecerá una valoración referencial para los diferentes tipos de información manejados, así como los distintos tipos de servicios prestados.

Se establece un marco normativo en materia de seguridad de la información estructurado por diferentes niveles de forma que los objetivos marcados por el presente documento tengan un desarrollo específico. La presente política de seguridad estructurará su marco normativo en los
siguientes niveles:

1. La presente Política de Seguridad de la Información que establece los requisitos y criterios de protección de carácter global.
   
   
2. Las normas de seguridad que definen qué hay que proteger y los requisitos de seguridad deseados. El conjunto de todas las normas de seguridad debe cubrir la protección de todos los entornos de los sistemas de información de la organización. Establecen un conjunto de expectativas y requisitos que deben ser alcanzados para poder satisfacer y cumplir cada uno de los objetivos de seguridad establecidos en la política. Las propone el Responsable de Seguridad y las aprueba el Comité de Seguridad.
   
   
3. Los procedimientos de seguridad en los que describirá de forma concreta cómo proteger lo definido en las normas y las personas o grupos responsables de la implantación,
   mantenimiento y seguimiento de su nivel de cumplimiento. Son documentos que especifican cómo llevar a cabo las tareas habituales, quién debe hacer cada tarea y cómo
   identificar y reportar comportamientos anómalos. Su aprobación dependerá de su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de información determinado.
   
   
4. Además, se podrán establecer guías con recomendaciones y buenas prácticas, si se viera necesario su desarrollo y aplicación.

En la medida de lo posible, toda esta documentación será gestionada según establece el procedimiento vigente de “Control de documentos y registros” en la Fundación Dialnet, que tiene como propósito el establecimiento de unos criterios para el control y gestión de los documentos relacionados con la seguridad de la información, extendiéndose a toda la documentación que da soporte al cumplimiento del Esquema Nacional de Seguridad.

Todo el personal con responsabilidad en el uso, operación, o administración de sistemas de tecnologías de la información y las comunicaciones tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad derivada, independientemente del tipo de relación jurídica que les vincule con la Fundación Dialnet.

Todas las personas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.

La Política de Seguridad estará accesible para todo el personal que preste sus servicios en los órganos y entidades a que se refiere el punto relativo al ‘Alcance’.

Con el objetivo de fomentar la ‘Cultura de la seguridad’, el Comité de Seguridad de la Información promoverá un programa de concienciación continúa para formar a todo el personal. El incumplimiento de la Política de Seguridad y su normativa de desarrollo dará lugar al establecimiento de medidas preventivas y correctivas encaminadas a salvaguardar y proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia de responsabilidad disciplinaria.

Cuando preste servicios o ceda información a terceras partes, se les hará partícipe de esta Política de Seguridad de la Información y de las normas e instrucciones derivadas.

Asimismo, cuando la Fundación Dialnet utilice servicios de terceros o ceda información a terceros se les hará igualmente partícipe de esta Política de Seguridad de la Información y de la normativa e instrucciones de seguridad que ataña a dichos servicios o información. Los terceros quedarán sujetos a las obligaciones y medidas de seguridad establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de detección y resolución de incidencias. Se garantizará
que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información, al menos al mismo nivel que el establecido en esta Política de Seguridad de la Información.

En concreto, los terceros deberán garantizar el cumplimiento de la política de seguridad de la información basadas en estándares auditables que permitan verificar el cumplimiento de estas políticas. Asimismo, se garantizará mediante auditoría o certificado de destrucción/borrado que la tercera cancela y elimina los datos pertenecientes a La Fundación Dialnet a la finalización del contrato.

Cuando algún aspecto de la Política de la Seguridad de la Información no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Responsable de la Información y de los Servicios afectados antes de seguir adelante.