MANUAL DE PREVENCIÓN DE

RIESGOS EN MATERIA DE
PROTECCIÓN DE DATOS

NON-STOP TECH EQUIPMENT & KNOWLEDGE

SOLUTIONS SL

P á g i n a 1 | 37
ÍNDICE

POL1. FORMACIÓN

POL2. CUENTAS CORREO ELECTRÓNICO

POL3. PAGINA WEB

POL4. COPIAS DE SEGURIDAD

POL5. CUENTAS USUARIOS (ADMINISTRADOR)

POL6. TELETRABAJO

POL7. DISPOSITIVOS MÓVILES

POL8. CONTRASEÑAS

POL9. BORRADO SEGURO Y GESTIÓN DE SOPORTES

POL10. ACTUALIZACIÓN SOFTWARE

POL11. CONTROL DE ACCESO

POL 12. ACCESO REMOTO A SISTEMAS

POL13. ACTUALIZACIÓN DE SISTEMAS

POL14. PUESTOS DE TRABAJO

POL15. REDES SOCIALES

POL16. PLAN DE CONTINGENCIA

POL17. POLITICA DE CUMPLIMIENTO NORMATIVO

POL18. ANTIVIRUS Y CORTAFUEGOS

P á g i n a 2 | 37
 POL Nº1 - POLITICA DE SEGURIDAD

FORMACIÓN

Esta política sirve para:

Asegurar que, en todo momento, los empleados conocen, entienden y cumplen las
normas y las medidas de protección en materia de ciberseguridad adoptadas,
advirtiéndoles de los riesgos que puede suponer un mal uso de los dispositivos y
soluciones tecnológicas a su alcance.

Y se aplica de la siguiente manera:

1. Las normas de seguridad de la información de la organización deben estar

correctamente documentadas y al alcance de todo el personal en todo momento.
2. Para garantizar el éxito de nuestro programa formativo, debemos seleccionar los
aspectos que queremos que sean cubiertos:

 procedimientos y controles de seguridad básicos;

 necesidad de conocer y cumplir normas, leyes, contratos y acuerdos;
 seguridad en el puesto de trabajo, aplicaciones permitidas, uso correcto
de los recursos, propiedad intelectual, protección datos personales, etc.;
 conciencias a los empleados sobre la existencia y peligros de la
ingeniería social;
 responsabilidad personal por acción u omisión y posibles sanciones.

3. Es conveniente analizar si se deben desarrollar programas de formación y

concienciación especializados para ciertos perfiles de empleados, tales como

P á g i n a 3 | 37
 técnicos de soporte, administradores de sistemas, etc. Además, elaborar una
actividad formativa introductoria para los nuevos empleados.
4. Se debe establecer una periodicidad en las actividades formativas y de
concienciación.
5. Además de concienciar y formar a nuestros empleados en ciberseguridad, es
conveniente exigir a las entidades externas que interactúan con nuestros sistemas
de información que sus políticas de ciberseguridad estén alineadas con la
nuestra. Intentaremos extender el plan de concienciación a la mayoría de
nuestros proveedores y clientes.
6. Consideraremos la necesidad de realizar evaluaciones entre los empleados para
determinar el grado de concienciación y formación que han alcanzado.

AFECTA A:
Las personas encargadas de la formación correspondiente bajo la dirección de Ginés
Sánchez Navarro
DEPARTAMENTOS:
En su totalidad
FECHA:
Desde la firma del presente manual
EVIDENCIA:
Desde que los empleados conocen, entienden y cumplen las normas y las medidas de
protección en materia de ciberseguridad

P á g i n a 4 | 37
 POL Nº2 - POLITICA SEGURIDAD

CUENTAS CORREO ELECTRÓNICO

Esta política sirve para:

Establecer normas de uso permitido y seguro del correo electrónico corporativo que
sirva para impedir errores, incidentes y usos ilícitos, y para evitar ataques por esta vía.

Y se aplica de la siguiente manera:

1. La empresa dispondrá de una normativa referente al uso del correo electrónico que
el empleado aceptará al incorporase a su puesto de trabajo.
2. Se informará de la prohibición del uso del correo corporativo con fines personales
que no tengan que ver con la empresa.

3. El contenido del correo deberá cumplir con la normativa y su uso inadecuado podrá
conllevar sanciones.

4. El correo corporativo puede ser supervisado por la dirección de la empresa

incluyendo una cláusula en la normativa que firma el empleado.

5. Se instalarán aplicaciones antimalware y activarán los filtros antispam tanto en el

servidor como en el cliente de correo.

6. Se instalará una tecnología de cifrado y firma digital para proteger la información

confidencial y asegurar la autenticidad de la empresa como remitente.

7. Se desactivará el formato HTML, la ejecución de macros y la descarga de imágenes.

8. Se deshabilitarán las macros y las descargas de imágenes.

9. No se publicarán las direcciones de correo corporativas en páginas web ni en redes

sociales sin utilizar técnicas de ofuscación:

 Se creará una imagen con la dirección de correo que quieras publicar y

evitando introducir el correo como texto;

 Se reemplazará ‘@’ y ‘.’ por texto; nombre@[Link] se sustituiría

por nombrearrobamiempresapuntocom.

10. Todas las cuentas deberán utilizar contraseñas de acceso de acuerdo con la Política
de contraseñas, se recomienda:

 usar contraseña segura para evitar accesos no autorizados;

P á g i n a 5 | 37
  utilizar doble factor de autenticación para las cuentas críticas;

 nunca se marcará la opción de recordar contraseña en el navegador web.

11. Los empleados deberán aprender a identificar correos fraudulentos y sospechar

cuando:

 el cuerpo del mensaje presente cambios de aspecto (logotipos, pie de firma,

etc.) con respecto a los mensajes recibidos anteriormente por ese mismo
remitente;

 el mensaje contenga una «llamada a la acción» que nos urge, invita o solicita
hacer algo no habitual;

 se soliciten credenciales de acceso a una web o aplicación (cuenta bancaria,

ERP, etc.)

12. El empleado no abrirá un correo sin identificar el remitente, habrá que prestar
especial atención ya que puede tratarse de un nuevo cliente o de un correo
malicioso.

13. Se contactará con el remitente conocido si hay sospecha de suplantación de

identidad. (cuerpo del mensaje, archivos adjuntos, enlaces…).

14. Al recibir un mensaje con un adjunto, este se debe analizar cuidadosamente antes de
abrirlo. Tener el antivirus activo y actualizado para identificar los archivos
maliciosos. Estas son algunas medidas para identificar un adjunto malicioso:

 tiene un nombre que incita a descargarlo, por ser habitual o porque tiene un
contenido atractivo;

 el icono no corresponde con el tipo de archivo (su extensión), se suelen

ocultar ficheros ejecutables bajo iconos de aplicaciones como Word, PDF,
Excel, etc.;

 tiene una extensión familiar pero en realidad está seguida de muchos

espacios para que no veamos la extensión real (ejecutable) en nuestro
explorador de ficheros, por ejemplo: [Link];

 nos pide habilitar opciones deshabilitadas por defecto como el uso de macros;

 no se reconoce la extensión del adjunto y puede que se trate de un archivo

ejecutable (hay muchas extensiones con las que no estamos familiarizados);

 es o encubre un archivo JavaScript (archivos con extensión .js).

P á g i n a 6 | 37
15. Antes de abrir un mensaje con un enlace se deberá:

 revisar la URL;

 identificar enlaces sospechosos que se parecen a enlaces legítimos

fijándonos en que: pueden tener letras o caracteres de más o de menos y
pasarnos desapercibidas; podrían estar utilizando homógrafos, es decir
caracteres que se parecen entres sí en determinadas tipografías (1 y l, O y 0).

16. En ningún caso se responderán ni reenviarán correos no deseados. Se agregarán a la

lista de spam y elimínalo.

17. En envíos de mensajes a múltiples destinatarios, se enviará al propio remitente y se

usará la opción de copia oculta, (CCO o BCO) en lugar de la copia normal CC.
Nunca se divulgará o comunicará a terceros correos de clientes sin su
consentimiento.

18. Se informará de la prohibición del reenvío de correos corporativos a cuentas

personales salvo casos excepcionales que deben ser autorizados por la dirección.

19. Se evitará utilizar el correo electrónico desde conexiones públicas para evitar que
los datos puedan ser interceptados por cualquier usuario de esta red.

AFECTA A:
Todo el personal bajo la dirección de Ginés Sánchez Navarro
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del documento
EVIDENCIA:
Uso permitido y seguro del correo electrónico corporativo que impida la aparición de errores,
incidentes y usos ilícitos

P á g i n a 7 | 37
 POL 3 - POLITICA SEGURIDAD

PÁGINAS WEBS

Esta política sirve para:

Proteger nuestra página web o tienda online de posibles ataques, cumplir con la
legislación y garantizar a los usuarios de nuestra web la protección de sus datos
personales.

Y se aplica de la siguiente manera:

1. Proteger los canales por los que se trasmite la información mediante cifrado de
comunicaciones y certificado web de confianza.

2. Cumplir con la normativa en materia de RGPD, siguiendo estas recomendaciones:

 No recabar más datos de los necesarios

 Tomar medidas de seguridad (autentificación, control de acceso, de

incidencias, gestión de soportes, copias de seguridad, etc…)

 Consentimiento explícito en cualquier caso siempre que se necesite.

 Política de cookies

 Aviso legal en el que recoge cómo poder ejecutar los derechos ARCOPOL.

3. Requisitos de seguridad en la contratación del desarrollo por parte de terceros.

4. Cumplir con los requisitos legales vigentes

5. Si es nuestro servidor propio el que utilizamos para el alojamiento web

 comprobaremos la seguridad perimetral

 contará con seguridad antimalware

 No habrá servicios innecesarios

 Los administradores utilizarán canales seguros

6. Si el alojamiento del servidor es externo revisaremos el contrato, revisaremos:

 Cláusulas de confidencialidad

P á g i n a 8 | 37
  Encargados de tratamiento

 Acuerdos de responsabilidad de seguridad

 Propiedad del código fuente

7. Registro de la actividad de administradores

8. Claves de seguridad de acceso al panel de control seguras con las siguientes

recomendaciones:

 Cambiar nombres y contraseñas por defecto y eliminarlos si no se usan

 Proteger al administrador

 Utilizar comunicaciones seguras

9. Para evitar la denegación de servicio se limitará los accesos concurrentes

10. Registro de cualquier interacción con nuestra web (logging)

11. Incluir sellos de confianza que auditen nuestra web periódicamente

12. Copias de seguridad periódicas

13. Se realizarán auditorías externas para certificar la seguridad

14. Se mantendrá el Software actualizado de manera periódica o puntual

15. Se instalará un antivirus para el correo electrónico y navegación web en todos

los activos de la empresa (ordenadores y servidores)

AFECTA A:
La persona responsable de la página web bajo la dirección de Ginés Sánchez Navarro
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del documento
EVIDENCIA:
Desde la protección de la página ante ataques informáticos

P á g i n a 9 | 37
 POL Nº4 - POLITICA SEGURIDAD

COPIAS DE SEGURIDAD

Esta política sirve para:

Verificar que se realizan copias de seguridad que garantizan la continuidad de negocio.

Y se aplica de la siguiente manera:

1. Se identificará la información necesaria para reanudar el negocio en caso de

desastre o incidente grave. Se incluirá el software necesario y los datos críticos,
los dispositivos que lo albergan, los responsables, la ubicación, etc.
2. Las copias de seguridad estarán bajo control de acceso restringido al personal
autorizado.
3. Se verificará que se realiza copia de seguridad de:

 la información crítica corporativa,

 la exigida por la ley (como el RGPD)
 la establecida en los contratos con terceros.

4. Se fijará la frecuencia para realizar las copias de seguridad teniendo en cuenta:

 la variación de los datos generados;

 el coste de almacenamiento;
 las obligaciones legales.

5. Se decidirá qué tipo de copia de seguridad es la idónea estimando los recursos y

tiempo necesarios para llevarlas a cabo:

 completa: se copian todos los datos a un soporte;

 incremental: sólo se graban los datos que han cambiado desde la última copia;
 diferencial: se copian los datos que han cambiado desde la última copia
completa.

6. Se decidirá cuánto tiempo conservar las copias en función de:

 si la información almacenada sigue vigente;

 la duración del soporte en el que realizan las copias;
 la necesidad de conservar varias copias anteriores a la última realizada.

P á g i n a 10 | 37
7. Se buscará un lugar adecuado para guardar las copias, con los siguientes criterios:

 cuenta con al menos una copia fuera de la organización;

 no se guardarán backups con datos de carácter personal (datos de clientes o
de empleados, por ejemplo) en casa;
 se valorará contratar servicios de guarda y custodia según los datos que
contienen.

8. Si la copia se ubicará en la nube se tomarán las siguientes precauciones:

 Se cifrará la información confidencial antes de realizar la copia;

 Se firmarán Acuerdos de Nivel de Servicios (ANS) con el proveedor, que
garanticen la disponibilidad, integridad, confidencialidad y control de
acceso a las copias;
 Se considerará el ancho de banda necesario para subir y bajar las copias.

9. Se elaborarán y aplicarán procedimientos que describan cómo hacer las copias y

cómo restaurarlas, para minimizar el tiempo de recuperación de los datos. Se
revisarán anualmente y con cada cambio importante del inventario de activos de
información.
10. Se comprobará, de manera periódica, que las copias están bien realizadas y que
pueden restaurarse.
11. Se decidirá dónde hacer las copias teniendo en cuenta los siguientes aspectos:

 coste, fiabilidad, tasa de transferencia y capacidad de los distintos soportes:

discos duros externos, USB, cintas, DVD y la nube;
 utiliza soportes que no estén obsoletos o en mal estado.

12. Se etiquetarán e identificarán los soportes dónde se realizan las copias de

seguridad para llevar un registro de los soportes sobre los que se ha realizado
alguna copia.
13. Se destruirán de forma segura los soportes utilizados para copias de seguridad.
Se cifrará la información confidencial y la que requiera de almacenamiento en la
nube.

P á g i n a 11 | 37
AFECTA A:
Todo el personal bajo la dirección de Ginés Sánchez Navarro
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del presente documento
EVIDENCIA:
Verificación de copias de seguridad

P á g i n a 12 | 37
 POL 5 - POLITICA SEGURIDAD

CUENTAS USUARIOS (ADMINISTRADOR)

Esta política sirve para:

Proporcionar un mínimo nivel de confianza y garantice el uso apropiado de los activos

desde el punto de vista de la seguridad.

Y se aplica de la siguiente manera:

1. Se generarán perfiles de administrador que serán de plena confianza y que

velarán por los intereses en materia de seguridad. Deberán estar debidamente
capacitadas y carecerán de cualquier intención maliciosa o conflicto de intereses.
2. Se llevará a cabo la gestión de la configuración para controlar, administrar y
monitorizar todas las funciones de gestión y administración de los activos.
3. La seguridad estará basada en roles para grupos de usuarios que requieren el
mismo nivel de acceso.
4. Los activos deberán permitir la definición de perfiles de administración (roles), y
la asignación de distintas funciones de gestión a cada perfil (separación de
tareas).
5. A cada nuevo usuario, el responsable de área le facilitará un ordenador personal
debidamente configurado y con acceso a los servicios y aplicaciones necesarias
para el desempeño de sus competencias profesionales.

AFECTA A:
Todas las personas bajo la dirección de Ginés Sánchez Navarro con equipo informático y
cuenta de usuario
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del presente documento
EVIDENCIA:
Configuración de control, administración y monitorización de todas las funciones de
gestión y administración de las cuentas de usuario

P á g i n a 13 | 37
 POL Nº6 - POLITICA SEGURIDAD

APLICACIONES INTERNAS DESDE EL

EXTERIOR (TELETRABAJO)
Esta política sirve para:

Regular el trabajo del personal cuando desarrolle su actividad profesional fuera de las
instalaciones de la empresa. Así como establecer los mecanismos que aseguren que los
dispositivos con los que teletrabajan los empleados están controlados y son seguros.

Y se aplica de la siguiente manera:

1. Los dispositivos móviles asignados al usuario son para su uso exclusivo y

solamente pueden ser utilizados para fines profesionales. No pueden prestarse a
terceros salvo autorización expresa de la empresa, que incluirá en todo caso la
definición de las condiciones de uso.
2. En todo caso es necesaria la autorización previa de la entidad para la salida de
documentación, equipos, dispositivos informáticos y de comunicaciones fuera de
las dependencias. De igual manera que para la utilización de equipos personales
en el tratamiento de la información, en el acceso a recursos o sistemas de
información de la empresa.
3. Debe realizarse copias de seguridad, con las medidas adecuadas para su
protección, de la información contenida en los dispositivos móviles de manera
periódica.
4. Solo se usarán los canales establecidos para la transmisión de información y el
acceso remoto, siguiendo los procedimientos y requisitos definidos para ello y
con las siguientes precauciones:
 Las contraseñas en la autenticación deben ser robustas.
 Cerrar siempre la sesión al terminar el trabajo.
 Cifrar la información sensible, confidencial o protegida que vaya a ser
transmitida a través de correo electrónico o cualquier otro canal que no
proporcione la confidencialidad adecuada.
5. La documentación y los dispositivos móviles deben estar vigilados y bajo
control para evitar extravíos o hurtos que comprometan la información
almacenada en ellos o que pueda extraerse de ellos. En los desplazamientos en
avión, este tipo de equipamiento no debe facturarse y deberá viajar siempre con
el usuario.

P á g i n a 14 | 37
6. El trabajo en lugares públicos debe realizarse con la mayor cautela y precaución,
evitando que personas no autorizadas vean o escuchen información interna a la
organización. Se evitará el acceso a redes wifi-públicas.
7. En el acceso remoto (vía web) se adoptarán las siguientes recomendaciones:
 Los navegadores utilizados deben estar permanentemente actualizados a
su última versión, así como correctamente configurados.
 Una vez finalizada la sesión web, es obligatoria la desconexión con el
servidor mediante un proceso que elimine la posibilidad de reutilización
de la sesión cerrada.
 Desactivar las características de recordar contraseñas en el navegador.
 Activar la opción de borrado automático al cierre del navegador, de la
información sensible registrada por el mismo: histórico de navegación,
descargas, formularios, caché, cookies, contraseñas, sesiones
autenticadas, etc.
 Salvo autorización expresa, está prohibida la instalación de add-ons para
el navegador.
8. La documentación y equipos que salgan de las instalaciones se deberá
transportar de manera segura, evitando proporcionar información sobre el
contenido en los mismos y utilizando, en su caso, maletines de seguridad que
eviten el acceso no autorizado.
9. Es obligatorio el uso de candados y/o cables de seguridad para los dispositivos
de computación que deban permanecer desatendidos fuera de las instalaciones.
10. Los equipos se mantendrán de acuerdo con las especificaciones técnicas de uso,
almacenamiento, transporte, etc., proporcionadas por el fabricante. Se evitará su
uso en condiciones de temperatura o humedad inadecuadas, o en entornos
inadecuados (mesas con alimentos y líquidos, entornos sucios, etc.).
11. Se llevará a cabo una revisión periódica de los equipos al menos, dos veces al
año, para verificar la ausencia de software dañino.
12. Durante la actividad profesional fuera de las instalaciones seguirán las normas,
procedimientos y recomendaciones internas existentes, en especial a:
 Las contraseñas deberán ser robustas y renovarse periódicamente o
cuando se sospeche que pueden estar comprometidas.
 El almacenamiento de la información en soportes electrónicos (CDs,

P á g i n a 15 | 37
 DVDs, memorias USB, etc.), debe caracterizarse por no ser accesible
para usuarios no autorizados. Para ello, es necesario aplicar claves de
acceso o algoritmos de cifrado cuando la naturaleza de la información así
lo aconseje.
 No desactivar las herramientas de seguridad habilitadas en los
dispositivos móviles (ordenadores portátiles, móviles, tablets, etc.) y
comprobar que se mantienen actualizadas.
 No descargar ni instalar contenidos no autorizados en los equipos (tonos
de teléfono, aplicaciones para tablets o móviles, etc.)

AFECTA A:
Todo el personal laboral bajo la dirección de Ginés Sánchez Navarro
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del presente documento
EVIDENCIA:
Establecimiento de mecanismos que aseguren que los dispositivos con los
que teletrabajan los empleados están controlados y son seguros

P á g i n a 16 | 37
 POL 7 - POLITICA SEGURIDAD

DISPOSITIVOS MÓVILES.

Esta política sirve para:

Definir el buen uso de los dispositivos móviles (Smartphone y tablets principalmente)

que sean asignados a los empleados

Y se aplica de la siguiente manera:

1. Elaborar normas y procedimientos específicos si permites BYOD en tu

empresa (usos permitidos, antivirus, actualización, configuraciones, …

2. Prohibición del uso de dispositivos rooteados o a los que se ha realizado

jailbreak.

3. Involucrar a los usuarios en la protección de sus propios dispositivos y

de los datos que contienen o a los que pueden acceder.

4. En cualquier caso debe estar inventariado

5. Debe de ser monitorizado

6. Debe cumplir como mínimo las siguientes condiciones:

1. Las listas de correo personal y profesional deben estar

diferenciados

2. Debe tener una antivirus

3. Debe estar actualizado a la última versión del SO

4. Debe tener copia de seguridad

5. En la medida de lo posible la parte profesional debe estar cifrada

7. Aplicar medidas técnicas para garantizar un almacenamiento seguro de la

información en los dispositivos
8. Configuración de bloqueo automático del dispositivo tras un periodo de
inactividad.
9. Desactivación en el teléfono de búsqueda de redes wifi y de dispositivos
vía Bluetooth cuando no son necesarios.

P á g i n a 17 | 37
 AFECTA A:
Todo el personal laboral o bajo la dirección de que le sea asignado un dispositivo móvil

DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del presente documento
EVIDENCIA:
Asignación de dispositivo móvil a los empleados en la protección de los propios dispositivos y
de los datos que contienen o a los que pueden acceder.

P á g i n a 18 | 37
 POL 8 - POLITICA SEGURIDAD

CONTRASEÑAS.

Esta política sirve para:

Establecer, difundir y verificar el cumplimiento de buenas prácticas en el uso de

contraseñas

Y se aplica de la siguiente manera:

1. Definir un sistema de gestión de contraseñas avanzado que contempla todos los

aspectos relativos a su ciclo de vida.
2. Considerar la utilización de sistemas de autenticación externos descentralizados.
3. Ayudarse de técnicas y herramientas informáticas para garantizar la seguridad de
las contraseñas.
4. Cambiar las contraseñas que vienen incluidas por defecto para el acceso a
aplicaciones y sistemas
5. Incorporar sistemas de autenticación multifactor en los accesos a servicios con
información muy sensible.
6. Mantener en secreto tus claves y evitas compartirlas
7. Generar tus contraseñas teniendo en cuenta su fortaleza.
8. Asegurarse de elegir distintas contraseñas para cada uno de los servicios que
utilizas.
9. No utilizar nunca las opciones de recordatorio de contraseñas de navegadores y
aplicaciones.
10. Usar gestores de contraseñas seguros para poderlas recordar.

P á g i n a 19 | 37
 AFECTA A:
Todo el personal laboral o bajo la dirección de Ginés Sánchez Navarro que requiera
contraseña para el desempeño de sus funciones.
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del presente documento
EVIDENCIA:
Cumplimiento de buenas prácticas en el uso de contraseñas

P á g i n a 20 | 37
 POL 9 - POLITICA DE SEGURIDAD

BORRADO SEGURO Y GESTIÓN DE SOPORTES.

Esta política sirve para:

Establecer normas para el borrado seguro de la información obsoleta y la destrucción de

soportes acorde a las necesidades de la empresa

Y se aplica de la siguiente manera:

1. Realizar un seguimiento de los dispositivos que están en funcionamiento, las

personas o departamentos responsables, la información contenida en ellos y su
clasificación en función del grado de criticidad para el negocio
2. Supervisar los dispositivos que almacenan información corporativa, en particular
aquellos que se utilizan para realizar copias de seguridad, documentando
cualquier operación realizada sobre los mismos: mantenimiento, reparación,
sustitución, etc.
3. Utilizar el proceso de triturado para destruir la información de los soportes no
electrónicos (papel y soportes magnéticos).
4. Optar por el proceso de sobreescritura cuando quieres reutilizar un soporte
todavía en buen estado
5. Usar el proceso de desmagnetización o de destrucción física antes de desechar el
soporte de almacenamiento
6. Eliminar la información en teléfonos móviles, impresoras, GPS, etc. (memoria y
tarjetas) antes de deshacernos de ellos.
7. Elegir una herramienta de borrado que permita la obtención de un documento
que identifique claramente que el proceso de borrado se ha realizado, detallando
cuándo y cómo ha sido realizado.
8. Utilizar un servicio de destrucción certificada para garantizar la destrucción de
datos confidenciales o para cumplir un acuerdo con otra empresa o con el
RGPD.

P á g i n a 21 | 37
 AFECTA A:
Al personal responsable del borrado y destrucción de la información bajo la dirección de
Ginés Sánchez Navarro
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del presente documento
EVIDENCIA:
Seguimiento de dispositivos en funcionamiento y supervisión de dispositivas con
almacenamiento de información corporativa

P á g i n a 22 | 37
 POL 10 - POLITICA DE SEGURIDAD

PROTECCIÓN TECNOLÓGICA (SOFTWARE

SEGURIDAD ACTUALIZADA)

Esta política sirve para:

Revisar si hay actualizaciones y parches de seguridad de los softwares utilizados. Así

como elaborar los procedimientos para llevar a cabo las actualizaciones y parches de
manera que sean instalados en los equipos de forma segura y controlada.

Y se aplica de la siguiente manera:

1. Para el correcto control de las actualizaciones pendientes, deberemos tener un

inventario de todo el software instalado en los equipos.
2. Instalar en cuanto tengamos conocimiento las actualizaciones y parches de
seguridad.
3. El responsable de informática determinará el momento de la instalación de
actualizaciones para interferir lo menos posible en el desarrollo del trabajo de la
empresa.
4. Activar las actualizaciones automáticas. Si no existiese esta opción, el
responsable de informática utilizará canales de alerta y los oportunos
procedimientos para la detección de actualizaciones. Trabajar con herramientas
de diagnóstico y actualización.
5. Antes la instalación se hará un baremo de las mejoras, los errores que subsanan
y los requisitos hardware/softwares necesarios.
6. Se dispondrá de un entorno de pruebas para al menos comprobar el
funcionamiento de las actualizaciones de aplicaciones críticas de los servidores.
7. Realizar copias de seguridad antes de gestionar la actualización para en caso de
fallo poder deshacer los cambios.
8. Se llevará a cabo un registro de las actualizaciones de los softwares, de tal
manera que se sepa en todo momento que versión/actualización es la que
tenemos instalada.

P á g i n a 23 | 37
 AFECTA A:
Al personal responsable de la gestión informática y de equipos bajo la dirección de Ginés
Sánchez Navarro
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del presente documento
EVIDENCIA:
Puesta en práctica de actualizaciones y parches de seguridad

P á g i n a 24 | 37
 POL 11 - POLITICA SEGURIDAD

CONTROL DE ACCESO.

Esta política sirve para:

Establecer la gestión de accesos de los usuarios a la red y a los sistemas de información

y aplicaciones, registrar convenientemente dichos accesos.

Y se aplica de la siguiente manera:

1. Definir los roles de usuarios y de grupos en función del tipo de

información al que podrán acceder.

2. Asignar los permisos necesarios para que cada usuario o grupo de

usuarios solo puedan realizar las acciones oportunas sobre la información
a la que tienen acceso.

3. Definir y aplicar un procedimiento para dar de alta/baja o modificar las

cuentas de usuario.

4. Gestionar las cuentas de administración de sistemas y aplicaciones

teniendo en cuenta su criticidad.

5. Determinar e implantar las técnicas de autenticación más apropiados para

permitir el acceso a la información de tu empresa.
6. Establecer los mecanismos necesarios para registrar todos los eventos
relevantes en el manejo de la información de tu empresa.
7. Revisar cada cierto tiempo que los permisos concedidos a los usuarios
son los adecuados.
8. Desactivar los permisos de acceso y eliminar las cuentas de usuario una
vez finalizada la relación contractual.

P á g i n a 25 | 37
 AFECTA A:
Al personal responsable del control de accesos y sistemas de información

DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del presente documento
EVIDENCIA:
Desde el registro de accesos de usuarios a la red y a sistemas de información y aplicaciones

P á g i n a 26 | 37
 POL 12 - POLITICA SEGURIDAD

ACCESO REMOTO A SISTEMAS

Esta política sirve para:

La protección de la confidencialidad e integridad de la información cuando atraviesa

redes no confiables, externas a las de la organización.

Y se aplica de la siguiente manera:

Las VPN de acceso remoto se usan habitualmente para conectar de forma segura a
través de una red no confiable (por ejemplo, Internet) a usuarios remotos de una
organización con la red de ésta, con la finalidad de que puedan utilizar sus recursos
internos.

Los dispositivos deben proporcionar ciertas funciones básicas de seguridad:

• Integridad de los datos enviados y recibidos a través de la VPN.

• Cifrado de la información.
• Confidencialidad de los datos enviados y recibidos a través de la VPN.
• Autenticación de los dispositivos/usuarios que establecen la conexión de la VPN.
• Control de acceso, restringiendo el acceso solo a usuarios/dispositivos
autorizados y solo a los datos/redes a los que estén autorizados.
• Funcionalidades de seguridad añadidas como, por ejemplo, controles para que el
equipo móvil no esté conectado a la vez a la red de la organización (a través de
la VPN) y a otras redes.

AFECTA A:
Todas las personas que desarrollen su actividad fuera de las instalaciones de la empresa
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del presente documento
EVIDENCIA:
Desde la necesidad de protección de confidencialidad e integridad de la información

P á g i n a 27 | 37
 POL 13 - POLITICA SEGURIDAD

ACTUALIZACIÓN DE SISTEMAS.
Esta política sirve para:

Revisar la existencia de actualizaciones y parches de seguridad de software interno y

elaborar procedimientos que permitan que tales actualizaciones y parches sean
instalados en nuestros equipos de forma segura y controlada.

Y se aplica de la siguiente manera:

1. Realizar un listado del software existente en la empresa para incluirlo en el plan

de actualizaciones
2. Analizar y contrastar en un entorno de pruebas las actualizaciones que deseas
instalar.
3. Contar con mecanismos y procedimientos para deshacer los cambios sufridos
tras ejecutar una actualización en caso de no resultar conveniente.
4. Utilizar herramientas de autodiagnóstico para detectar software no actualizado
en tus equipos.
5. Tener configurado un sistema de alertas para recibir avisos y notificaciones
sobre vulnerabilidades, actualizaciones y parches de seguridad.
6. Registrar cada una de las actualizaciones y parches que instalas.

AFECTA A:
Al responsable de la gestión de sistemas y de los recursos informáticos
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del presente documento
EVIDENCIA:
Desde la detección de sistemas no actualizados

P á g i n a 28 | 37
 POL Nº 14 - POLITICA SEGURIDAD

PUESTOS DE TRABAJO
Esta política sirve para:

Indicar al usuario como debe de quedar su equipo cuando no esté presente en su puesto
de trabajo. Por analogía incluye a los dispositivos móviles.
Y se aplica de la siguiente manera:

1. Cuando una persona, durante la jornada de trabajo, abandona su puesto por el

motivo que sea, deberá confirmar que su pantalla queda bloqueada y con un
salvapantallas adecuado.

2. El usuario debe confirmar al finalizar su jornada que el equipo está cerrado y

apagado.

3. Respecto al escritorio limpio, se debe procurar que nunca haya a la vista

documentación con datos personales.

4. En la medida de lo posible lo idóneo será que estén bajo llave, pero como mínimo
se exige que estén en carpetas y no a la vista.

5. Asimismo se considera una falta de limpieza la existencia de alimentos o botes y

botellas de líquidos encima de la mesa, se debe procurar en la medida de lo
posible no tenerlos cerca de los teclados, quedando prohibido el comer en el
puesto de trabajo.

AFECTA A:
Todo usuario bajo la dirección de que haya designado equipo o dispositivo móvil

DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del documento
EVIDENCIA:
Desde la indicación al usuario de las instrucciones en el abandono de puesto de trabajo

P á g i n a 29 | 37
 POL 15 - POLITICA SEGURIDAD

REDES SOCIALES

Esta política sirve para:

La correcta seguridad de las redes sociales con las que trabaja la empresa y la
protección de los datos que se compartan en dichas redes.

Y se aplica de la siguiente manera:

1. Se deberá seguir las directrices en vigor de la ley de Protección de Datos.

2. Se mantendrá actualizado y de manera pública, el registro de actividades de la
empresa
3. Se mantendrá actualizado el listado de destinatarios y encargados de tratamiento
que puedan acceder a datos personales
4. Dispondrá de una Política de privacidad, así como el aviso legal y de cookies
que puedan estar usándose en las diferentes redes sociales. Se mantendrán
públicos y actualizados.
5. Se publicará el acceso al ejercicio de derechos y los datos del responsable de
tratamiento y/o delegado de protección de datos.
6. Se harán copias de seguridad del contenido de las redes sociales periódicamente.
7. Se mantendrá un registro de las incidencias de seguridad que surjan con las
redes sociales.
8. Se pondrá en contacto con el proveedor de la red social en cuanto tenga el
conocimiento de una brecha o incidencia de seguridad.
9. En caso de que haya un registro de los usuarios a nuestra red particular, deberá
existir el consentimiento expreso de la cesión de datos, así como el aviso de la
finalidad de los mismos y demás requisitos que recoge el RGPD.

P á g i n a 30 | 37
 AFECTA A:
Al responsable de la gestión de las redes sociales bajo la dirección de Ginés Sánchez
Navarro
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del documento
EVIDENCIA:
Desde la correcta seguridad de la empresa en la protección de datos en redes sociales

P á g i n a 31 | 37
 POL 16 - POLITICA SEGURIDAD

PLAN DE CONTINGENCIA Y CONTINUIDAD DE

NEGOCIO
Esta política sirve para:

Diseñar y probar un plan de contingencia que nos permita recuperar en un plazo

razonable el ritmo habitual de trabajo para garantizar la continuidad del negocio ante un
desastre que paralice la actividad de la empresa.

Y se aplica de la siguiente manera:

10. Se seleccionarán los activos esenciales con los que se pueda garantizar la
continuidad de la actividad. Esto supondrá el alcance del plan de continuidad.
11. Se definirán los principales responsables, secuencias de decisiones y canales de
comunicación que gestionarán la situación de desastre, así como los
procedimientos y controles.
12. Se llevará a cabo un análisis de impacto en el negocio, de tal manera que se
conozcan principalmente:
 Las actividades principales
 Dependencias con otros procesos o proveedores
 El máximo tiempo que podemos estar sin esa actividad
 El tiempo mínimo de recuperación del servicio a niveles aceptables
13. Se tendrá una política de comunicaciones para la correcta gestión de las
comunicaciones y avisos, definiendo a quién debemos comunicar, por qué medio
y qué tipo de mensaje.
14. Se llevará a cabo una revisión periódica del plan de continuidad, además de
cuando se generen cambios importantes en los sistemas de información.
15. Se definirá qué estrategia es la más adecuada para la empresa, implantándose
como mínimo:
 Copias de seguridad
 Pruebas periódicas para verificar la integridad y la correcta recuperación
de la información
 Se estudiará el tener un centro de respaldo

P á g i n a 32 | 37
16. Evaluar, verificar y revisar el plan de continuidad de manera periódica,
analizando los procedimientos y controles que lo componen.

AFECTA A:
A toda persona responsable bajo la dirección de la empresa de Ginés Sánchez Navarro
DEPARTAMENTOS:
A la totalidad
FECHA:
Desde la firma del documento
EVIDENCIA:
Anomalía en la aprobación y diseño del plan de contingencia

P á g i n a 33 | 37
 POL Nº 17 - POLITICA SEGURIDAD

CUMPLIMIENTO LEGAL
Esta política sirve para:

Indicar al usuario como debe cumplir con los aspectos que regulan la ciberseguridad
para garantizar la privacidad de las personas, los derechos de los consumidores en el
comercio electrónico, la firma electrónica y la identidad digital o la propiedad
intelectual.
Y se aplica de la siguiente manera:

1. Conocimiento de la aplicación de las siguientes Leyes:

- LOPDGDD (Ley Orgánica de Protección de Datos y Derechos de Garantías
Digitales) y el reglamento europeo de protección de datos RGPD, para
proteger la vida privada de las personas y sus datos en las comunicaciones
electrónicas;
- LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio
Electrónico) que regula los aspectos jurídicos de las actividades económicas
o lucrativas del comercio electrónico, la contratación en línea, la información
y la publicidad y los servicios de intermediación;
- LPI (Ley de Propiedad Intelectual), que regula los derechos relativos a las
creaciones literarias, artísticas o científicas, en formatos tradicionales
(fotografía, pintura, literatura) y en formatos digitales (imágenes, videos,
contenido multimedia, libros digitales …), incluido el software;
- Reglamento europeo de identificación electrónica y servicios de
confianza en el mercado interior, para reforzar la confianza en las
transacciones electrónicas entre ciudadanos, empresas y las AAPP en el
marco del Mercado Único Digital Europeo.

2. El incumplimiento de la legislación puede tener como consecuencia

determinadas sanciones penales y económicas, con el consiguiente daño de
imagen y la pérdida de confianza de nuestros clientes.
3. Para garantizar el conocimiento y cumplimiento por parte del personal de
QSIMOV QUANTUM COMPUTING S.L. de las obligaciones legales en
materia de seguridad de la información, se realizará una evaluación de los
controles de seguridad en lo relativo al cumplimiento legal. Esta evaluación se
basará en aspectos como:
- Garantía de cumplimiento de los derechos de propiedad intelectual
- Responsabilidades para gestionar la protección de datos personales
P á g i n a 34 | 37
 - Revisión del cumplimiento del deber de informar y que los interesados
puedan ejercitar sus derechos según el RGPD
- Revisión de evaluaciones de impacto en tratamientos de alto riesgo
- Revisión y actualización del Registro de actividades de tratamiento
- Evaluación de los procesos establecidos para notificar brechas de seguridad
- Evaluación de las medidas organizativas para la adecuación y cumplimiento
del RGPD
- Revisión de las comunicaciones comerciales que obliguen el cumplimiento
de la LSSI
- Comprobación de los requisitos de la LSSI y la LOPD en relación con
el comercio electrónico o transacciones online
- Garantía del cumplimiento de los derechos de propiedad industrial y
marcas propias y de terceros

AFECTA A:
A la persona responsable de asegurar el cumplimiento en materia de ciberseguridad bajo la
dirección de Ginés Sánchez Navarro
DEPARTAMENTOS:
En su totalidad
FECHA:
Desde la firma del documento
EVIDENCIA:
Detección de anomalías en el cumplimiento de aspectos en materia de ciberseguridad

P á g i n a 35 | 37
 POL Nº 18 - POLITICA SEGURIDAD

ANTIVIRUS Y CORTAFUEGOS
Esta política sirve para:

La prevención, detección y desinfección de virus informáticos.

Y además, aportar mecanismos enfocados a reducir vulnerabilidades y contrarrestar

amenazas, fundamentalmente de carácter técnico, aunque también pueden ser de
naturaleza física o procedimental.

Y se aplica de la siguiente manera:

Puede configurarse de dos maneras:

 Gestión centralizada, que permite monitorizar y controlar la ejecución de varias

instancias de la aplicación de antivirus que se ejecuta sobre un grupo
heterogéneo de sistemas.

 O, La gestión es autónoma en cada equipo, la monitorización y control de

ejecución de la aplicación del Anti-virus forma parte de la propia aplicación.

Deberá de cumplirse unas condiciones mínimas de protección:

 Plataforma segura: El producto se ejecutará sobre una plataforma confiable,

incluyendo el sistema operativo o cualquier entorno de ejecución sobre el que se
utilice.
 Acceso: El producto tiene acceso todos los datos del sistema necesarios para
llevar a cabo todas sus funciones.
 Administración confiable: El Administrador será un miembro de plena confianza
y que vela por los mejores intereses en materia de seguridad de la
empresa/administración. Por ello se asume que dicha persona estará capacitada,
formada y carecerá de cualquier intención dañina al administrar el producto.
 Actualizaciones periódicas: El software del producto será actualizado conforme
aparezcan actualizaciones que corrijan vulnerabilidades conocidas.

P á g i n a 36 | 37
 AFECTA A:
Al responsable de los recursos informáticos y cumplimiento de protección bajo la dirección
de Ginés Sánchez Navarro
DEPARTAMENTOS:
En su totalidad
FECHA:
Desde la firma del presente documento
EVIDENCIA:
Disponer de mecanismos encargados de reducir la vulnerabilidad de la empresa ante amenazas
informáticas

P á g i n a 37 | 37