Este documento ha sido aprobado el día 26 de junio de 2023 por el Comité de Gestión de Seguridad de la Información. Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
Introducción
Ntslive Ibérica, S.L. depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. La presente Política responde a las recomendaciones de las mejores prácticas de Seguridad de la Información recogidas por el Esquema Nacional de Seguridad, con el objetivo de aplicar sus medidas de seguridad así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
El personal de la empresa debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.
El personal de la empresa debe estar preparado para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 7 del ENS.
Prevención
Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, los departamentos deben:
• Autorizar los sistemas antes de entrar en operación.
• Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
Detección
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
Respuesta
Los departamentos deben:
• Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
• Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos de la empresa.
• Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
Recuperación
Para garantizar la disponibilidad de los servicios críticos, la empresa debe desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.
Alcance
Esta política se aplica a todas las aplicaciones informáticas incluidas en la plataforma SAAS WPMOVIL CLOUD de Ntslive Ibérica, S.L., sin excepciones.
Misión
El propósito de esta Política de Seguridad de la Información es proteger la información de los servicios de la plataforma SASS WPMOVIL CLOUD. La plataforma de aplicaciones SAAS WPMOVIL CLOUD permite ofrecer a los clientes a través de sus herramientas informáticas mejorar la productividad en la gestión de la función de auditoría interna, gestión de riesgos y gestión de cumplimiento normativo.
Marco normativo
La base normativa que afecta al desarrollo de las actividades y competencias de WPMOVIL CLOUD, que implica la implantación de forma explícita de medidas de seguridad en los sistemas de información y está constituida por la siguiente legislación:
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales.
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Conocido como Reglamento general de protección de datos (RGPD). • UNE-EN ISO/IEC 27001 es idéntica a la norma internacional ISO/IEC 27001Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).
• UNE-EN ISO/IEC 27002 que es igual que las normas internacionales ISO/IEC 27002 Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información. • Legislación consolidada 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico. (LSSICE).
• Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
• Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual.
• Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
• Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
• Guías de las series 400, 500, 600 y 800 del CCN-CERT.
• Guía de Seguridad de las TIC CCN-STIC 800 Esquema Nacional de Seguridad. Glosario de términos y abreviaturas.
• Guía de Seguridad de las TIC CCN-STIC 801 Esquema Nacional de Seguridad. Responsabilidades y funciones.
• Guía de Seguridad de las TIC CCN-STIC 802 Guía de auditoría
• Guía de Seguridad de las TIC CCN-STIC 803 ENS. Valoración de los sistemas
• Guía de Seguridad de las TIC CCN-STIC 803 Anexo I – Valoración de los sistemas en Universidades
• Guía de Seguridad de las TIC CCN-STIC 804 ENS. Guía de implantación.
• Guía de Seguridad de las TIC CCN-STIC 805 ENS. Política de seguridad de la información.
• Guía de Seguridad de las TIC CCN-STIC 806 Plan de Adecuación al ENS.
• Guía de Seguridad de las TIC CCN-STIC 807 Criptología de empleo en el Esquema Nacional de Seguridad.
• Guía de Seguridad de las TIC CCN-STIC 808 Verificación del cumplimiento del ENS.
• Guía de Seguridad de las TIC CCN-STIC 809 Declaración, certificación y aprobación provisional de conformidad con el ENS y distintivos de cumplimiento.
• Guía de Seguridad de las TIC CCN-STIC 825 ENS. Certificaciones 27001
NTSLIVE IBERICA S.L.será responsable de identificar las guías de seguridad del LISTADO DE GUÍAS CCN‐STIC mayo-21, referenciadas en el mencionado artículo, que serán de aplicación para mejorar el cumplimiento de lo establecido en el Esquema Nacional de Seguridad (ver Anexo B. Listado de Guías CCN-STIC Aplicadas).
También forman parte del marco normativo las restantes normas aplicables a NTSLIVE IBERICA S.L.derivadas de las anteriores y publicadas comprendidas dentro del ámbito de aplicación de la presente Política.
El mantenimiento del marco normativo será responsabilidad del Comité de Gestión de Seguridad de la Información de NTSLIVE IBERICA S.L.y se mantendrá un enlace a este documento
Organización de la seguridad
Comités: Funciones y Responsabilidades
La Dirección es responsable de que la organización alcance sus objetivos a corto, mediano y largo plazo. Debe respaldar explícita y notoriamente las actividades de la Seguridad de las TIC en la organización. Expresa sus inquietudes al Comité de Gestión de Seguridad de la Información a través del Responsable de la Información. Aprueba la Política de Seguridad de la Información.
El Comité de Gestión de Seguridad de la Información estará formado por: el Director General, CIO, Director Técnico, Delegado de Protección de Datos. Este comité se responsabiliza de alinear todas las actividades de la organización en materia de seguridad de la información. El Comité de Gestión de Seguridad de la Información reportará a: La Dirección.
El Comité de Gestión de Seguridad de la Información tendrá las siguientes funciones:
• Coordina todas las funciones de seguridad de la organización.
• Vela por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial.
• Vela por el alineamiento de las actividades de seguridad y los objetivos de la organización.
• Asegura la elaboración de la Política de Seguridad de la Información; que será aprobada, firmada por la dirección y distribuida para que sea del conocimiento de todos los implicados.
• Asegura la creación y aprobación de las normas que enmarcan el uso de los servicios TIC y de los procedimientos de actuación relativo al uso de los servicios TIC.
• Coordina y aprueba las propuestas recibidas de proyectos de los diferentes ámbitos de seguridad. Los presupuestos elevados serán transmitidos a la Dirección para su aprobación. Los responsables de seguridad se encargarán de llevar a cabo un control y presentación regular del proceso de los proyectos y anuncio de las posibles desviaciones.
• Escucha las inquietudes de la Dirección y la transmite a los Responsables de Seguridad pertinentes. De estos últimos recaba respuestas y soluciones que una vez coordinadas, son notificadas a la Dirección.
• Recaba de los Responsables de Seguridad informes regulares del estado de seguridad de la organización y de los posibles incidentes. Estos informes, se consolidan y resumen para la Dirección.
• Coordina y da respuesta a las inquietudes transmitidas a través de los Responsables de Seguridad.
• Define la asignación de roles y los criterios para alcanzar las garantías que estimen pertinentes en lo relativo a segregación de tareas.
• Aprueba los requisitos de formación, calificación de administradores y de los usuarios desde el punto de vista de seguridad de las TIC.
• Promueve la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
• Coordina los Planes de Continuidad, para asegurar una actuación sin brechas en caso de que deban ser activados.
• Elabora la estrategia de evolución de la organización en lo que respecta a seguridad de la información y los servicios
• Aprueba planes de mejora de la seguridad de la información de la organización.
• Resuelve los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización.
Roles: Funciones y Responsabilidades
La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos. La gestión de la seguridad de los sistemas de información en las organizaciones exige establecer una Organización de la Seguridad. Determinando con precisión los diferentes actores que la conforman, sus funciones y responsabilidades, así como la implantación de una estructura que la soporta, teniendo en cuenta el Esquema Nacional de Seguridad y sus diferentes artículos.
Los diferentes roles junto con sus respectivas funciones y responsabilidades están reflejados en los Roles y Responsabilidades del departamento de Seguridad y TIC.
El Responsable de la Información: será el CIO y tendrá como funciones las que se muestran a continuación:
• Velar por la seguridad de la información en sus diferentes vertientes: protección física, protección de los servicios y respeto de la privacidad.
• Es Responsable de la Seguridad del ENS.
• Es miembro del Comité de Gestión de Seguridad de la Información.
• Es responsable de que se elaboren las actas de las reuniones y de la ejecución directa o delegada de las decisiones del Comité.
• Es responsable de estar al tanto de cambios normativos (leyes, reglamentos o prácticas sectoriales) que afecten a la Organización.
• Se debe incorporar al Comité de Crisis en caso de desastres y coordinará todas las actuaciones relacionadas con cualquier aspecto de la seguridad de la Organización.
• Escuchar las inquietudes de la Dirección, de los responsables de seguridad y las debe incorporar al orden del día para su discusión en las reuniones del Comité, aportando información puntual para la toma de decisiones.
• Determinar los requisitos de seguridad de la información tratada, según los parámetros del Anexo I del ENS.
• Valorar las consecuencias de un impacto negativo sobre la seguridad de la información se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos.
• Determinar las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de seguridad y de sistema.
• Elaborar los requisitos de formación, calificación de administradores y usuarios desde el punto de vista de seguridad de las TIC, para su aprobación por el Comité.
• Coordinar la investigación forense relacionada con incidentes que se consideren relevantes. El Responsable del Servicio tiene la responsabilidad y autoridad para:
• Determinar los requisitos de seguridad de los servicios prestados, según los parámetros del Anexo I del ENS.
• Aprobar los niveles de seguridad de los servicios.
• Poder incluir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
• Valorar las consecuencias de un impacto negativo sobre la seguridad de los servicios, se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de las personas.
• Es responsable de la presentación regular de informes sobre el estado de seguridad de los servicios TIC. Estos informes se presentarán al comité.
• Es el interlocutor oficial en comunicaciones con otras organizaciones, tarea que puede asumir personalmente o delegar según las circunstancias, pero nunca debe haber más de un interlocutor.
• Exigir de las organizaciones que prestan servicios de seguridad a la organización, que cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.
• Adquirir productos de seguridad de las TIC que se utilizarán de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. El Responsable de Seguridad tiene la responsabilidad y autoridad para:
• Estar al tanto de los cambios de la tecnología y/o del entorno en el que vive la organización, tales que afecten a la organización, debiendo informarse de las consecuencias para las actividades de la Seguridad de las TIC, alertando al Comité y proponiendo las medidas oportunas de adecuación al nuevo marco.
• Redactar los procedimientos de actuación relativo al uso de los servicios TIC. Estos procedimientos se presentarán al Comité para su aprobación.
• Ejecutar correctamente las instrucciones del Comité, ejecución que se materializará transmitiendo instrucciones al Responsable del Sistema.
• Preparar los informes en caso de incidentes excepcionalmente graves y en caso de desastres. Se presentará un informe detallado al Comité y al Comité de Crisis respectivamente.
• Elaborar un Análisis de Riesgos de los sistemas de las TIC, que será presentado al Comité para su aprobación y deberá actualizarse regularmente (por ejemplo, cada 6 meses, aunque depende de la criticidad del sistema).
• Ejecutar regularmente verificaciones de seguridad según un plan predeterminado y aprobado por el Comité. Los resultados de estas inspecciones se presentarán al Comité para su conocimiento y aprobación. Si como resultado de la inspección aparecen incumplimientos, el Responsable propondrá medidas correctoras que presentará al Comité para su aprobación, responsabilizándose de que sean llevadas a cabo.
• Elaborar y seguir el Plan de Seguridad, donde intervendrán los diferentes Responsables y será presentado al Comité para su aprobación.
• Identificar las tareas de administración y operación que garanticen la satisfacción de los criterios y requisitos de segregación de tareas impuestos por el Comité.
• Coordinar la respuesta ante incidentes que desborden los casos previstos y procedimentados.
• Seleccionar la relación de medidas del Anexo II del real decreto donde se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el Responsable de la Seguridad.
• Referenciar las medidas de seguridad en el Anexo II donde podrán ser reemplazadas por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos (Anexo I) y se satisfacen los principios básicos y los requisitos mínimos previstos en los capítulos II y III del real decreto.
• Indicar de forma detallada como parte integral de la Declaración de Aplicabilidad la correspondencia entre las medidas compensatorias implantadas y las medidas del Anexo II del real decreto y el conjunto será objeto de la aprobación formal por parte del responsable de la seguridad.
• Deberá analizar los informes de autoevaluación y/o los informes de auditoría, que elevará las conclusiones al Responsable del Sistema para que adopte las medidas correctoras adecuadas. El Responsable del Sistema del ENS tiene la responsabilidad y autoridad de:
• Realizar la operación del sistema de información, atendiendo a las medidas de seguridad determinadas por el Responsable de la Seguridad.
• Adoptar las medidas correctoras adecuadas de las conclusiones de los informes de autoevaluación y/o los informes de auditoría.
• Encargar la implantación, configuración y mantenimiento de los servicios de seguridad relacionados con las TIC.
• Realizar las tareas de administración del Sistema.
• Realizar las tareas de configuración, mantenimiento y optimización de las bases de datos.
• Llevar a cabo el registro, contabilidad y gestión de los incidentes de seguridad en los sistemas de información bajo su responsabilidad.
• Aislar el incidente para evitar la propagación a elementos ajenos a la situación de riesgo.
• Tomar decisiones a corto plazo si la información se ha visto comprometida y pudiera tener consecuencias graves.
• Asegurar la integridad de los elementos críticos del sistema de información si se ha visto afectada la disponibilidad de los mismos.
• Mantener y recuperar la información almacenada por el sistema de información y sus servicios asociados.
• Investigar el incidente: determinar el modo, los medios, los motivos y el origen del incidente.
• Planificar la implantación de las salvaguardas en el sistema.
• Ejecutar el plan de mejora de la seguridad aprobado.
• Se encarga de las tareas de administración de red, siendo responsable de aspectos de seguridad, como enrutamiento y filtrado, relativos a la infraestructura de red (routers / switches, dispositivos de protección de perímetro, redes privadas virtuales, detección de intrusos, dispositivos trampas, etc.)
• Encargado de los procedimientos relacionados con la generación, custodia, explotación y terminación de claves de cifrado El Delegado de Protección de Datos tiene las obligaciones de cumplir con lo establecido en el RGPD en el art. 39 y LOPDGDD, arts. 34 a 37:
• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
• Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35; • Cooperar con la autoridad de control;
• Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
• El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
• Garantizar las medidas del Anexo II del ENS, así como aquellas otras necesarias para garantizar el adecuado tratamiento de datos personales, podrán ser ampliadas por causa de la concurrencia indicada o de la prudente autoridad del Responsable de la Seguridad, teniendo en cuenta el estado de la tecnología, la naturaleza de los servicios prestados, la información manejada, y los riesgos a que están expuestos.
• El Responsable del Tratamiento (Protección de datos) definido en el RGPD, art.4.7 y LOPDGDD, Título V: Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros • El Encargado del Tratamiento (Protección de datos) según el RGPD, art. 4.8 y LOPDGDD, Título V: Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Los Usuarios tienen la responsabilidad de:
• Los usuarios se relacionan con los servicios TIC para cumplir sus obligaciones laborales. Son el personal autorizado para acceder al Sistema utilizando las posibilidades que les ofrece el mismo.
• Los usuarios juegan un papel fundamental en el mantenimiento de la seguridad del Sistema, por lo tanto, es fundamental su concienciación en la seguridad de las TIC ya que en la mayoría de los casos constituyen voluntariamente o involuntariamente la principal amenaza para el propio Sistema.
• Los usuarios deben estar debidamente informados de sus obligaciones y responsabilidades, así como haber sido instruidos para la labor que desempeñan. En particular deben estar formados en relación a la gestión de mecanismos de identificación y al procedimiento de gestión de incidentes.
• Los usuarios del Sistema son responsables entre otras cosas de: conocer los procedimientos que les competen e informar de cualquier incidente de seguridad o acontecimiento inusual que sea observado durante la operación de su Sistema.
Procedimientos de designación
Los responsables de Seguridad de la Información y del Sistema serán nombrados por la alta dirección a propuesta del Comité de Seguridad TIC. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.
Política de Seguridad de la Información
Será misión del Comité de Seguridad TIC la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma.
La Política será aprobada por la alta dirección y difundida para que la conozcan todas las partes afectadas.
Datos de Carácter Personal
Ntslive Ibérica, S.L. trata datos de carácter personal. El Registro de actividades del tratamiento al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de actividades del tratamiento.
Gestión de Riesgos
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
• regularmente, al menos una vez al año
• cuando cambie la información manejada
• cuando cambien los servicios prestados
• cuando ocurra un incidente grave de seguridad
• cuando se reporten vulnerabilidades graves Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.
El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
Desarrollo de la Política de Seguridad de la Información
Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
La normativa de seguridad estará disponible impresa y en la siguiente URL: Https:\\wpmovil.com
Obligaciones del Personal
Todos los miembros de Ntslive Ibérica, S.L. tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados. Todos los miembros de Ntslive Ibérica, S.L. atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de Ntslive Ibérica, S.L., en particular a los de nueva incorporación. Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
Terceras Partes
Cuando Ntslive Ibérica, S.L. utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política. Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.