NETAPHORA ha establecido un marco de gestión de la seguridad de la información según lo establecido por el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS), reconociendo, así como activos estratégicos la información y los sistemas que la soportan.
Uno de los objetivos fundamentales de la implantación de este marco de referencia es asentar las bases sobre las cuales los trabajadores de NETAPHORA y sus clientes puedan acceder a los servicios en un entorno de gestión seguro, anticipándonos a sus necesidades, y preservando sus derechos.
La Política de Seguridad es el instrumento en que se apoyan los recursos de NETAPHORA para alcanzar sus objetivos utilizando de forma segura los sistemas de información y las comunicaciones.
La Política de Seguridad identifica responsabilidades y establece principios y directrices para una protección apropiada y consistente de los servicios y activos de información gestionados por medio de las Tecnologías de la Información y de las Comunicaciones (TIC).
El objetivo es lograr una protección, proporcional al riesgo, de la información tratada por NETAPHORA, y de los sistemas, dispositivos y elementos que soportan los servicios y procesos de tratamiento, mediante la preservación de las dimensiones de seguridad de la información, es decir, su autenticidad, confidencialidad, integridad, disponibilidad, trazabilidad y conservación.
Esta Política será de aplicación y de obligado cumplimiento para todos los empleados de NETAPHORA; así como a sus recursos y procesos afectados por el Real Decreto 311/2022, de 3 de mayo, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.
NETAPHORA da servicio a sus clientes asegurando la efectividad de sus derechos y la continua mejora de los procedimientos, servicios y prestaciones de acuerdo con las políticas fijadas por la organización. Asimismo, en NETAPHORA se tienen en cuenta los recursos disponibles, determinando de esta manera las prestaciones que proporcionan los servicios ofrecidos, sus contenidos y los correspondientes estándares de calidad.
NETAPHORA se organiza y actúa con pleno respeto al principio de legalidad y de acuerdo con los principios de jerarquía, descentralización funcional, desconcentración, coordinación, eficacia en el cumplimiento de los objetivos fijados, eficiencia en la asignación y utilización de los recursos disponibles, transparencia, responsabilidad por la gestión y servicio efectivo a sus clientes.
La organización viene a ejercer sus competencias propias bajo su propia responsabilidad, debiendo atender siempre a la más eficaz coordinación con sus clientes. Para ejercer sus competencias, NETAPHORA hace uso de sistemas de información que son protegidos de una forma efectiva y eficiente.
El marco normativo de las actividades de NETAPHORA en el ámbito de la Política de Seguridad de la Información está integrado por las siguientes normas:
Asimismo, resultarán de aplicación cuantas otras normas regulen la actividad de NETAPHORA en el ámbito de sus competencias y aquellas otras dirigidas a asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en los medios electrónicos gestionados por la Corporación en el ejercicio de sus competencias.
La gestión de la seguridad de los sistemas de información —definición, implantación y mantenimiento— exige establecer una Organización de la Seguridad. Tal organización determina con precisión los diferentes actores que la conforman, sus funciones y responsabilidades, así como la implantación de una estructura que las soporte.
En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.
La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.
La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.
No obstante, la Guía de seguridad del CCN-STIC 801: “responsabilidades”, establece que, en los organismos de dimensión reducida, los roles y responsabilidades para el ENS pueden establecerse en base a la siguiente estructura reducida a 2 roles:
Consecuentemente, en NETAPHORA se establecen los siguientes roles de seguridad que a continuación se describen:
NETAPHORA establece tres grandes bloques de responsabilidad:
La persona responsable de la Información tiene competencia suficiente para decidir sobre la finalidad, contenido y uso de la información y determinar los requisitos de seguridad de la información tratada.
Las funciones de la persona responsable de la Información son las siguientes:
La persona responsable del Servicio posee competencia suficiente para decidir sobre la finalidad y prestación del servicio y determinar los requisitos de seguridad de los servicios prestados.
Las funciones de la persona responsable del Servicio son las siguientes:
La persona Responsable de Seguridad es la encargada de tomar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios de NETAPHORA.
La persona Responsable de Seguridad tiene conocimiento del funcionamiento de la organización, así como amplios conocimientos y experiencia en materia de Seguridad.
Las funciones de la persona Responsable de Seguridad son las siguientes:
Es un puesto operativo designado por el Comité de Dirección encargado de la explotación del sistema, dentro del ámbito del Esquema Nacional de Seguridad.
Las funciones de la persona Responsable del Sistema son las siguientes:
La coordinación de la seguridad de la información es especialmente importante por exigencia de racionalización del gasto y para evitar disfunciones que propicien la aparición de brechas de seguridad.
El Comité de Seguridad de la Información coordina la seguridad de la información en NETAPHORA, y estará formado por la persona Responsable de la Seguridad y por representantes de otras áreas afectadas. La composición de cada sesión se determinará, además de por los roles señalados, por cualesquiera que se consideren, tanto internos como externos, que aporten al objetivo de esta.
Son funciones típicas del Comité de Seguridad de la Información:
En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
Resolver los conflictos de responsabilidad que puedan aparecer entre responsables y/o áreas, elevando los casos en que no tenga autoridad suficiente.
Ubicación legal: Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Funciones, características o referencias:
Ubicación legal: Sección 4 y artículo 39 del RGPD.
Es función de la Dirección de NETAPHORA designar:
Las renovaciones de las responsabilidades, cuando haya cambios en NETAPHORA o algún puesto quede vacante, serán revisadas por Dirección.
El acta de nombramiento se recoge en el documento “Acta Nombramiento de Roles”.
Con el objetivo de lograr la plena conciencia respecto a que la seguridad de la información afecta a todos los miembros de NETAPHORA y a todas las actividades que se desarrollan, de acuerdo con el principio de Seguridad Integral recogido en el Artículo 5 del ENS.
Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso de seguridad y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo.
Todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos.
El personal de NETAPHORA recibirá la formación e información específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios que se prestan.
Se establecerá un programa de concienciación continua dirigido a todos los miembros de NETAPHORA, en particular a los de nueva incorporación.
La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado en todas las fases de su ciclo de vida.
El acceso al sistema de información de NETAPHORA está controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, tal y como se detalla en el procedimiento "Procedimiento de autorizaciones". Estos accesos están debidamente autorizados, restringiendo el acceso a las funciones permitidas.
Los sistemas de NETAPHORA se instalan en áreas separadas, dotadas de un procedimiento de control de acceso, tal y como se detalla en el procedimiento "Arquitectura de Seguridad". La oficina está siempre cerrada y se dispone de un control de llaves y gestión de claves para el acceso a la misma.
Los sistemas de NETAPHORA se diseñarán y configurarán de forma que garanticen la seguridad por defecto:
El uso ordinario del sistema ha de ser sencillo y seguro; una utilización insegura debe requerir un acto consciente por parte del usuario.
En NETAPHORA todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema, tal y como se detalla en la Normativa de Seguridad. Asimismo, el estado de seguridad de los sistemas —especificaciones de fabricantes, vulnerabilidades y actualizaciones— es monitorizado y conocido en todo momento, reaccionando con diligencia para gestionar el riesgo.
En NETAPHORA se aplican procedimientos para la gestión segura de soportes de almacenamiento de acuerdo con la política de seguridad.
Se aplicará la debida diligencia y control a los soportes de información que permanecen bajo la responsabilidad de la organización, mediante las siguientes actuaciones:
Se prestará especial atención a la información en equipos portátiles, periféricos, soportes y comunicaciones sobre redes abiertas o con cifrado débil.
NETAPHORA evita proactivamente, mediante copias de seguridad, la pérdida de información, tal y como se detalla en “Uso de equipos, servicios e instalaciones”. Toda información en soporte no electrónico está protegida bajo llave con el mismo grado de seguridad.
NETAPHORA analiza los riesgos derivados de la interconexión del sistema con otros sistemas a través de redes, controlando y monitorizando el punto de unión, tal y como se indica en la Normativa de Seguridad.
NETAPHORA registra las actividades de los usuarios y de los administradores del sistema, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
Se protegen los sistemas de registro y los registros en sí de manipulaciones indebidas y accesos no autorizados.
Todo ello se recoge con detalle en el procedimiento “PROCEDIMIENTO DE AUTORIZACION”.
NETAPHORA dispone de un sistema de detección y reacción frente a código dañino, garantizando un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información, incluidos los de comunicación de eventos, vulnerabilidades y debilidades.
Estos procedimientos cubren detección, criterios de clasificación, análisis y resolución, cauces de comunicación a las partes interesadas y registro de actuaciones, con el fin de favorecer la mejora continua.
NETAPHORA evita de manera proactiva, mediante copias de seguridad, la pérdida de información. Asimismo, dispone de los mecanismos necesarios que garantizan la continuidad de las operaciones en caso de pérdida de los medios habituales de trabajo, a través de los procesos de continuidad de negocio de la organización.
El proceso integral de seguridad implantado en NETAPHORA será actualizado y mejorado de forma continua. Los procesos de ingeniería se actualizan frecuentemente para garantizar la mejora continua y la adecuación a nuevas amenazas potenciales.
La estructuración de la documentación se basa en el ENS, definiendo los documentos necesarios para dar soporte a sus requisitos, dentro del sistema de gestión documental.
Los principales documentos se alojan en la raíz del gestor documental, bajo el directorio “ENS”, mientras que la documentación auxiliar (procedimientos y registros) se aloja en subdirectorios que referencian el requisito específico del esquema.
Los documentos contarán con un formulario de control documental, después del índice, que contendrá:
Asimismo, todas las páginas contarán con un encabezado indicando el título del documento.
Adicionalmente, todas las hojas estarán numeradas e indicarán la clasificación del documento.
Únicamente el propietario de la información podrá aprobar y validar el acceso a la documentación.
Todos los cambios entre versiones se indicarán en el control de versiones para su fácil identificación.
El acceso al sistema de información se regula mediante las medidas del procedimiento “PROCEDIMIENTO DE AUTORIZACION”.
Sobre todos los sistemas sujetos a esta Política se realiza un análisis de riesgos, evaluando amenazas y riesgos. Se sigue la metodología MAGERIT v.3.
Este análisis se repetirá:
Para armonizar los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información y servicios. Asimismo, dinamizará los recursos necesarios para atender a las necesidades de seguridad.
Esta Política se desarrolla mediante los siguientes documentos:
La normativa de uso de recursos (equipos, servicios e instalaciones) está a disposición de todo el personal que necesite conocerla, en particular quienes utilicen, operen o administren los sistemas de información y comunicaciones de NETAPHORA.
Todos los miembros de NETAPHORA tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para su difusión.
Todos los miembros de NETAPHORA atenderán a una sesión de concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua, especialmente para nuevas incorporaciones.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación obligatoria antes de asumir responsabilidades y cuando cambien de puesto o funciones.
Cuando NETAPHORA preste servicios a otros organismos o maneje su información, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales de reporte y coordinación entre Comités de Seguridad y procedimientos de actuación ante incidentes.
Cuando NETAPHORA utilice servicios de terceros o ceda información, dichas partes conocerán esta Política y la Normativa de Seguridad aplicable, quedando sujetas a sus obligaciones. Se establecerán procedimientos específicos de reporte y resolución de incidencias y se garantizará la concienciación de su personal.
Si algún aspecto de la Política no pudiera ser satisfecho por un tercero, se requerirá informe del Responsable de Seguridad con los riesgos y su tratamiento, que deberá ser aprobado por los responsables de la información y servicios afectados.
Texto aprobado el día 13 de septiembre de 2025 por el Comité de Seguridad.
Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
La revisión anual de esta Política de Seguridad de la Información será competencia del Comité de Seguridad de NETAPHORA y se difundirá para conocimiento de todas las partes afectadas.
NETAPHORA trata datos de carácter personal. Todos los sistemas de información de NETAPHORA se protegerán en función de los criterios de riesgo establecidos, su naturaleza y finalidad, tal y como se indica en su Política de Protección de Datos.