(34) 928 228 151 info@gemed.es

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1. APROBACIÓN Y ENTRADA EN VIGOR

Texto aprobado el día 16 de Septiembre de 2021 por GEMED Soluciones.
Esta “Política de Seguridad de la Información” es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
La dirección de la empresa, es consciente del valor de la información y está profundamente comprometida con la política descrita en este documento.

2. INTRODUCCIÓN

Este documento expone la Política de Seguridad de la Información de GEMED Soluciones para el departamento de Seguridad y TIC, como el conjunto de principios básicos y líneas de actuación a los que la organización se compromete, en el marco de las Norma ISO 27001 y Esquena Nacional de Seguridad (ENS).

La empresa depende de la información y de los sistemas de Tecnologías de Información y Comunicaciones (TIC) para alcanzar sus objetivos. Estos sistemas deben ser administrados con presteza, tomando las medidas de seguridad adecuadas para protegerlos frente a las amenazas que puedan afectarle, independientemente de los formatos, soportes, medios de transmisión, sistemas, o personas que intervengan en su tratamiento que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la protección de los sistemas, la calidad de la información, la continuidad del negocio, actuando preventivamente para minimizar los riesgos, supervisando la actividad diaria y reaccionando con presteza a los incidentes, permitiendo maximizar el retorno de las inversiones y las oportunidades de negocio.

La seguridad de la información es un proceso que requiere medios técnicos, humanos, una adecuada gestión y definición de los procedimientos; donde es fundamental la máxima colaboración e implicación de todo el personal de la empresa.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en el uso previsto de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que el departamento de Seguridad y TIC debe aplicar las medidas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir, analizar las vulnerabilidades reportadas y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los departamentos deben contrastar que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación y en la solicitud de propuestas a proveedores para proyectos TIC.

El departamento debe estar preparado para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS, para conseguir que las amenazas no se materialicen, no afecten la información que manejan o los servicios que prestan. Las medidas de prevención deben eliminar o reducir la posibilidad de que las amenazas lleguen a materializarse, considerando la disuasión y la reducción de la exposición. Las medidas de reacción deben interrumpir a tiempo los incidentes de seguridad. Las medidas de recuperación permitirán la restauración de la información y los servicios.

El sistema garantizará la conservación de los datos e informaciones en soporte electrónico, manteniendo disponible los servicios durante todo el ciclo de vida de la información, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.

2.1 PREVENCIÓN

El departamento debe evitar o prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, los roles, las responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

– Para garantizar el cumplimiento de la política, el departamento debe:
– Autorizar los sistemas antes de entrar en operación.
– Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
– Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
– Identificar si un atacante remoto podría penetrar las defensas.
– Determinar el impacto de una violación de seguridad.

2.2 DETECCIÓN

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS donde las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Donde el sistema debe disponer de una estrategia de protección constituida por múltiples capas de seguridad, para cuando una de las capas falle permita:

– Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse.
– Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
– Minimizar el impacto final sobre el sistema.

Las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.

Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

2.3 RESPUESTA

El departamento de Seguridad y TIC debe:

– Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
– Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
– Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

2.4 RECUPERACIÓN

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

3. ALCANCE

Esta política se aplica a todos los sistemas TIC de GEMED Soluciones y a todos los miembros del departamento de Seguridad y TIC.

4. MISIÓN

El propósito de esta Política de Seguridad de la Información es proteger la información de los servicios de GEMED Soluciones.

– El Plan Director de Seguridad de la Información (PDSI): consiste en la definición y priorización de un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial. Permite incorporar el pilar seguridad de la información al plan de transformación digital. Se desarrollan políticas, procedimientos según las necesidades específicas de cada compañía. Proporciona una base sólida y objetiva, para planificar y priorizar las inversiones en materia de seguridad de la información.

– La Plataforma de Entrenamiento y Concienciación de la Información: es una solución dotada de herramientas especializadas dirigidas a mejorar los hábitos, el nivel formativo y de concienciación de los empleados, permitiendo elevar los niveles de seguridad para combatir las amenazas y vulnerabilidades.

– La Evaluación del Coeficiente de Seguridad Organizacional (CSO): analiza detalladamente la superficie de exposición de una compañía según su actividad, de esta manera se obtiene una visión global del estado de la seguridad de la empresa. Esto permitirá diseñar la estrategia más adecuada y desarrollar las medidas dirigidas a prevenir fugas de información externas e internas.
La Monitorización y Gestión de Seguridad: Security Operation Center (SOC) pone a disposición de los clientes un servicio de monitorización y respuesta a incidentes que libera a las organizaciones de disponer de perfiles técnicos tan especializados y en número suficiente para realizar esta tarea por sí mismos.

– El Red Team: es un equipo conformado por especialistas ingenieros en ciberseguridad que simularán un agente hostil, ya sea externo o interno, con la finalidad de interrumpir operativas, extorsionar, robar datos o efectuar fraudes de forma controlada. Multiplicando la visibilidad de todo lo que no ven sus sistemas de seguridad y alertas actuales; mediante Auditorías WhiteBox, Auditorías BlackBox, Pentesting, Análisis forense y Test de seguridad perimetral.

– En el Análisis de Código Fuente: se evalúa la seguridad de las aplicaciones, sean desarrolladas de manera interna o por desarrolladores externos, es una tarea de vital importancia para la seguridad de la información y para dar cumplimiento a requerimientos normativos.

5. MARCO NORMATIVO

La base normativa que afecta al desarrollo de las actividades y competencias de GEMED Soluciones, que implica la implantación de forma explícita de medidas de seguridad en los sistemas de información y está constituida por la siguiente legislación:

– Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.

– Real decreto 421/2004, de 12 de marzo y regulado por la orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

– Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.

– Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.

– Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

– Artículos 18.1 y 18.4 de la Constitución española relativos al derecho a la intimidad respectivamente: Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio a sus derechos.

– Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

– Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Conocido como Reglamento general de protección de datos (RGPD).

– Instrucción 1/1995, de 1 de marzo de la AEPD, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito.

– Instrucción 1/1996, de 1 de marzo, de la AEPD, sobre sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios.

– Instrucción 1/1996, de 1 de marzo, de la AEPD, sobre sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios.

– Legislación consolidada 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

– Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

– Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

– Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

– Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.

– UNE-ISO/IEC 27001 es idéntica a la norma internacional ISO/IEC 27001:2013 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).

– UNE-ISO/IEC 27002-2013 que es igual que las normas internacionales ISO/IEC 27002:2013 Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información.

También forman parte del marco normativo las restantes normas aplicables a GEMED Soluciones derivadas de las anteriores y publicadas comprendidas dentro del ámbito de aplicación de la presente Política.

El mantenimiento del marco normativo será responsabilidad del Comité de Gestión de Seguridad de la Información de GEMED Soluciones y se mantendrá un enlace a este documento. Incluido las instrucciones técnicas y las guías de seguridad de obligado cumplimiento, publicadas mediante resolución de la Secretaría de Estado de Administraciones Públicas y aprobadas por el Ministerio de Hacienda y Administraciones Públicas, a propuesta del Comité Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional (CCN) tal y como se establece en el “Artículo 29. Instrucciones técnicas de seguridad y guías de seguridad”.

GEMED Soluciones será responsable de identificar las guías de seguridad del LISTADO DE GUÍAS CCN‐STIC mayo-21, referenciadas en el mencionado artículo, que serán de aplicación para mejorar el cumplimiento de lo establecido en el Esquema Nacional de Seguridad (ver Anexo B. Listado de Guías CCN-STIC Aplicadas).

6. ORGANIZACIÓN DE LA SEGURIDAD

Para la fundamentación de este capítulo se toma como referencia la Guía de Seguridad de las TIC (CCN-STIC 402) Organización y Gestión para la seguridad de los sistemas TIC y la Guía de Seguridad de las TIC (CCN-STIC 801) Esquema Nacional de Seguridad Responsabilidades y Funciones.

6.1 COMITÉ: FUNCIONES Y RESPONSABILIDADES

La Dirección es responsable de que la organización alcance sus objetivos a corto, mediano y largo plazo. Debe respaldar explícita y notoriamente las actividades de la Seguridad de las TIC en la organización. Expresa sus inquietudes al Comité de Gestión de Seguridad de la Información a través del Responsable de Seguridad de la Información. Aprueba la Política de Seguridad de la Información.

El Comité de Gestión de Seguridad de la Información estará formado por: el Director General, CIO, Director Técnico, Delegado de Protección de Datos. Este comité se responsabiliza de alinear todas las actividades de la organización en materia de seguridad de la información.

El Responsable de Seguridad de la Información: será el CIO y tendrá como funciones:

– Velar por la seguridad de la información en sus diferentes vertientes: protección física, protección de los servicios y respeto de la privacidad.

– Es el Responsable de la Seguridad del ENS.

– Es miembro del Comité de Gestión de Seguridad de la Información.

– Es responsable de que se elaboren las actas de las reuniones y de la ejecución directa o delegada de las decisiones del Comité.

– Es responsable de estar al tanto de cambios normativos (leyes, reglamentos o prácticas sectoriales) que afecten a la Organización.

-Se debe incorporar al Comité de Crisis en caso de desastres y coordinará todas las actuaciones relacionadas con cualquier aspecto de la
seguridad de la Organización.

– Escucha las inquietudes de la Dirección, de los responsables de seguridad y las debe incorporar al orden del día para su discusión en las reuniones del Comité, aportando información puntual para la toma de decisiones.

– Determina los requisitos de seguridad de la información tratada, según los parámetros del Anexo I del ENS.

– Valora las consecuencias de un impacto negativo sobre la seguridad de la información. Se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos.

El Comité de Gestión de Seguridad de la Información reportará a: La Dirección.

El Comité de Gestión de Seguridad de la Información tendrá las siguientes funciones:

– Coordina todas las funciones de seguridad de la organización.

– Vela por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial.

– Vela por el alineamiento de las actividades de seguridad y los objetivos de la organización.

– Asegura la elaboración de la Política de Seguridad de la Información; que será aprobada, firmada por la dirección y distribuida para que sea del conocimiento de todos los implicados.

– Asegura la creación y aprobación de las normas que enmarcan el uso de los servicios TIC y de los procedimientos de actuación relativo al uso de los servicios TIC.

– Coordina y aprueba las propuestas recibidas de proyectos de los diferentes ámbitos de seguridad. Los presupuestos elevados serán transmitidos a la Dirección para su aprobación. Los responsables de seguridad se encargarán de llevar a cabo un control y presentación regular del proceso de los proyectos y anuncio de las posibles desviaciones.

– Escucha las inquietudes de la Dirección y la transmite a los Responsables de Seguridad pertinentes. De estos últimos recaba respuestas y soluciones que una vez coordinadas, son notificadas a la Dirección.

– Recaba de los Responsables de Seguridad informes regulares del estado de seguridad de la organización y de los posibles incidentes. Estos informes, se consolidan y resumen para la Dirección.

– Coordina y da respuesta a las inquietudes transmitidas a través de los Responsables de Seguridad.

– Define la asignación de roles y los criterios para alcanzar las garantías que estimen pertinentes en lo relativo a segregación de tareas.

– Aprueba los requisitos de formación, calificación de administradores y de los usuarios desde el punto de vista de seguridad de las TIC.

– Promueve la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.

– Coordina los Planes de Continuidad, para asegurar una actuación sin brechas en caso de que deban ser activados.

– Elabora la estrategia de evolución de la organización en lo que respecta a seguridad de la información y los servicios

– Aprueba planes de mejora de la seguridad de la información de la organización.

– Resuelve los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización.

6.2 ROLES: FUNCIONES Y RESPONSABILIDADES

La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos. La gestión de la seguridad de los sistemas de información en las organizaciones exige establecer una Organización de la Seguridad. Determinando con precisión los diferentes actores que la conforman, sus funciones y responsabilidades, así como la implantación de una estructura que la soporta, teniendo en cuenta el Esquema Nacional de Seguridad y sus diferentes artículos.

Los diferentes roles junto con sus respectivas funciones y responsabilidades están reflejados en los Roles y Responsabilidades del departamento de Seguridad y TIC. (Ver [org1.1] Matriz de Roles y Responsabilidades).

6.3 PROCEDIMIENTOS DE DESIGNACIÓN

El Responsable de Seguridad de la Información y Responsable del Servicio será nombrado por la Dirección a propuesta del Comité de Gestión de Seguridad de la Información. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.

Es función de Comité de Gestión de Seguridad de la Información de la entidad designar:

– El Responsable de la Seguridad, debe reportar directamente al Responsable de Seguridad de la Información y al Comité de Gestión de Seguridad de la Información.

– El Responsable del Sistema, en materia de seguridad, reportará al Responsable de la Seguridad. El Departamento responsable de un servicio que se preste electrónicamente designará al Responsable del Sistema, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.

6.4 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Será misión del Comité de Gestión de Seguridad de la información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por el mismo comité y difundida para que la conozcan todas las partes afectadas.

7. DATOS DE CARÁCTER PERSONAL

GEMED Soluciones trata datos de carácter personal. El documento de Políticas de Privacidad del Tratamiento de los Datos, al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información de GEMED Soluciones se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado documento de seguridad.

8. GESTIÓN DE RIESGOS

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

– Regularmente, al menos una vez al año

– Cuando cambie la información manejada

– Cuando cambien los servicios prestados

– Cuando ocurra un incidente grave de seguridad

– Cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, el Comité de Gestión de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Gestión de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

El propietario de un riesgo debe ser informado de los riesgos que afectan a su propiedad y del riesgo residual al que está sometida. Cuando un sistema de información entra en operación, los riesgos residuales deben haber sido aceptados formalmente por su correspondiente propietario.

 9. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Será misión del Comité de Gestión de Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la Dirección y difundida para que la conozcan todas las partes afectadas.

Esta Política de Seguridad de la Información complementa las políticas de seguridad de GEMED Soluciones en diferentes materias:

– Políticas de privacidad del tratamiento de los datos.

– Política Ambiental, de Calidad, de Seguridad de la Información y de Continuidad de Negocio de GRUPO GEMED.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La normativa de seguridad estará disponible en la página web de GEMED Soluciones.

Impresa y enmarcada para que sea del conocimiento de todos los trabajadores del departamento de Seguridad Y TIC de GEMED Soluciones.

10. OBLIGACIONES DEL PERSONAL

Todos los miembros del departamento de Seguridad Y TIC de GEMED Soluciones tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo el Comité de Gestión de Seguridad de la Información el responsable de disponer de los medios necesarios para que la información llegue a los afectados.

Todos los miembros del departamento de Seguridad Y TIC de GEMED Soluciones atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros del departamento de Seguridad Y TIC de GEMED Soluciones, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

11. TERCERAS PARTES

Cuando GEMED Soluciones preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación del respectivo Comité de Gestión de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando GEMED Soluciones utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

12. REFERENCIAS BIBLIOGRÁFICAS

– Guía de seguridad (CCN-STIC-805) ESQUEMA NACIONAL DE SEGURIDAD. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

– Guía de seguridad de las TIC (CCN-STIC-402) ORGANIZACIÓN Y GESTIÓN PARA LA SEGURIDAD DE LOS SISTEMAS TIC.

– Guía de seguridad (CCN-STIC-801) ESQUEMA NACIONAL DE SEGURIDAD. RESPONSABILIDADES Y FUNCIONES

Pin It on Pinterest