ACCESO EMPLEADOS | Facebook Instagram Youtube
GESTIÓN DEL MEDIO RURAL DE CANARIAS
Gobierno de Canarias

Política de calidad, PRL y Seguridad de la Información

by

La Política de Calidad, PRL y de Seguridad de la Información de GMR Canarias se basa en los sistemas de calidad ISO 9001, ISO 27001 y Esquema Nacional de Seguridad (ENS). El Sistema de información de GMR es de categoría MEDIA ya que algunas dimensiones de seguridad alcanzan el nivel MEDIO, y ninguna alcanza un nivel superior. Responde a la inquietud de mejora e innovación en el desarrollo y gestión con alto nivel de prestaciones acorde a los requisitos reglamentarios y legales, así como los específicos de los beneficiarios de sus políticas y de sus clientes. La orientación y el valor para la sociedad y los clientes debe además facilitar las actividades con un consumo racional de los recursos ambientales, así como asegurar la información soportada en las Tecnologías de la Información.

Gestión del Medio Rural de Canarias, S.A.U. (GMR Canarias) es una sociedad mercantil pública adscrita a la Consejería de Agricultura, Ganadería, Pesca y Soberanía Alimentaria del Gobierno de Canarias, clasificada como medio propio del Gobierno de Canarias según define el artículo 32 de la LCSP.

En la actualidad, es medio propio y servicio técnico propio de la Administración Pública de la Comunidad Autónoma de Canarias, tal y como se reconoce en el Decreto 188/2001 del 15 de octubre, con el que se determina su finalidad de servir como instrumento para la ejecución de la política agropecuaria y pesquera del Gobierno de Canarias.

Es definida y revisada periódicamente por la Dirección.

GMR Canarias establece su:

· PROPÓSITO como Medio Propio: participar en la ejecución de las políticas fijadas por el Gobierno de Canarias.
· PROPÓSITO como Comercializadora: concentrar la oferta de pequeños productores para que puedan acceder al mercado.
· VISIÓN: empresa profesional, con personal técnico altamente cualificado, innovadora y eficaz en la prestación de servicios, además de responsable con las reglas de mercado en la actividad de comercialización enfocada a favorecer a los pequeños productores.
· VALORES: transparencia, entrega y vocación de servicio público.

VALORES CORPORATIVOS:

  • Transparencia: responsabilidad ética de la organización que se traduce en la claridad en todos los actos y la absoluta ausencia de ambigüedad en las acciones, así como la información relevante sobre los objetivos, actuaciones y resultados de la empresa.
  • Regulación: principio de cumplimiento estricto de las disposiciones legales y administrativas vigentes.
  • Normalización: la empresa establece para sí misma y propone al sector actuaciones de normalización, procedimentación y buenas prácticas, que permitan racionalizar sus actuaciones corporativas.
  • Profesionalidad: los trabajadores de la empresa como ejemplo de exigencia, conocimiento, capacidad y preparación adecuada y suficiente para garantizar el ejercicio de cada rol laboral para el cumplimiento de los propósitos de la empresa.
  • Innovación: apuesta por la creatividad, la originalidad, la investigación y desarrollo y la superación en términos de gestión que sitúen a la empresa como puntera y ejemplo para el sector.
  • Trabajo en equipo: filosofía de que alberga la voluntad colectiva para conseguir los objetivos comunes.
  • Calidad: la calidad total debe constituir un axioma en la cultura de empresa, una exigencia en la gestión y una contribución esencial al cumplimiento de los objetivos.
  • Generación de información: como herramienta de trabajo esencial que además debe ponerla al servicio del sector para facilitar su desarrollo y garantizar su competitividad.
  • Cercanía: al productor, a los clientes, a los mercados, que garantice una relación estrecha y una comunicación constante que permitan conocer de primera mano las necesidades del sector para dar servicio y apoyo.
  • Mejora continua: constituye la capacidad de la organización para mejorar a través del cambio, de la introducción de elementos que supongan el desarrollo de la organización y en su capacidad de adaptación al entorno.

Esta política se aplica a todos los sistemas -incluidos los TIC- de GMR Canarias y a todos los miembros de la organización, sin excepciones.

GMR Canarias depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.

Se adoptan los principios básicos señalados en el capítulo II del Esquema Nacional de Seguridad, que tienen por objeto asegurar garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:

  • Seguridad como proceso integral.
  • Gestión de la seguridad basada en los riesgos.
  • Prevención, detección, respuesta y conservación.
  • Existencia de líneas de defensa.
  • Vigilancia continua.
  • Reevaluación periódica.
  • Diferenciación de responsabilidades.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC están protegidos contra amenazas de rápida evolución con potencial para incidir en la autenticidad, trazabilidad, confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para la defensa de estas amenazas, se dispone de una estrategia adaptada a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica aplicar las medidas mínimas de seguridad exigidas por el ENS y el SGSI, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos se cercioran de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación son identificadas e incluidas en la planificación y en la solicitud de ofertas TIC.

Dentro de las Políticas de Seguridad de la Información, GMR Canarias está preparado para prevenir, detectar, reaccionar y recuperarse de incidentes.

Alcance de la Política de Calidad

· Comercialización de productos agrarios y alimentarios en general de Canarias.
· Gestión de proyectos orientados al desarrollo de los sectores agropecuarios, pesquero, media ambiental y del entorno rural en el ámbito de la Comunidad Autónoma de Canarias.

Alcance del Sistema de Gestión de Seguridad de la Información

Alcance ISO 27001 SGSI (Sistema de Gestión de Seguridad de la Información) y el ENS (Esquema Nacional de Seguridad) de categoría media.

Los sistemas de información que dan soporte a los servicios de gestión de:

  • Proyectos de pesca, ganadería, agricultura, políticas europeas y nuevas tecnologías,
  • Las actividades de comercialización y promoción de productos agrarios y agroalimentarios,
  • Así como los servicios centrales de recursos humanos, financiero, control de gestión, contratación y sistemas informáticos, de acuerdo con la vigente declaración de aplicabilidad.

Política de Calidad y Seguridad de la Información

1.1         OBJETO

La presente Política de Seguridad de la Información tiene por objeto establecer el marco de actuación para la protección de la información y de los Sistemas de Tecnologías de la Información y las Comunicaciones (STIC) de GMR Canarias, garantizando la confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad y uso previsto de la información.

La presente Política se fundamenta en lo dispuesto en el Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS), así como en el resto de los requisitos legales, reglamentarios, y normativos aplicables en materia de seguridad de la información. Asimismo, incorpora el compromiso de GMR Canarias con el cumplimiento de los requisitos del Sistema de Gestión de Seguridad de la Información (en adelante, SGSI) conforme a ISO/IEC 27001:2022.

Su finalidad es asegurar la prestación continuada de los servicios, mediante una gestión basada en el análisis y tratamiento de riesgos y en la aplicación de medidas de seguridad proporcionales a la categoría de los sistemas.

La seguridad se integra en todo el ciclo de vida de los sistemas y servicios, desde su diseño hasta su retirada, y constituye un elemento esencial en la gestión corporativa.

Esta Política se establece teniendo en cuenta el contexto de la organización, así como los requisitos y expectativas de las partes interesadas pertinentes, incluyendo clientes, proveedores, organismos reguladores y otras entidades relevantes. Proporciona el marco para el establecimiento, revisión y seguimiento de los objetivos de seguridad de la información, incluyendo el compromiso de mejora continua del SGSI.

A efectos de la presente Política, se consideran activos de información todos aquellos elementos que soportan la información y los servicios de GMR Canarias, incluyendo datos, aplicaciones, sistemas, infraestructuras tecnológicas, soportes físicos, instalaciones y personal que interviene en su gestión.

La Dirección de GMR Canarias demuestra su liderazgo y compromiso con la seguridad de la información asegurando la integración del SGSI en los procesos de la organización, promoviendo una cultura de seguridad, asignando los recursos necesarios y apoyando la mejora continua del sistema.

1.2         ALCANCE

La presente Política aplica a:

  • Toda la información gestionada por GMR Canarias, con independencia de su formato o soporte.
  • Todos los sistemas de información y STIC que soportan los servicios prestados.
  • Todos los empleados, directivos y personal externo que acceda o trate información de GMR Canarias.
  • Los proveedores y terceros que presten servicios o gestionen información o sistemas por cuenta de GMR Canarias.

El nivel de seguridad aplicable vendrá determinado por la categorización de los sistemas y por los resultados del análisis de riesgos realizado conforme al ENS y al SGSI.

La presente Política es de obligado cumplimiento para todo el personal, directivos, colaboradores y terceros que accedan o traten información o sistemas de GMR Canarias.

1.3         COMPROMISOS Y LÍNEAS DE ACTUACIÓN EN MATERIA DE SEGURIDAD

Para dar cumplimiento a la presente Política, GMR Canarias asume los siguientes compromisos en materia de seguridad de la información:

  • Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información, así como la continuidad de los servicios.
  • Gestionar los riesgos de seguridad de la información, aplicando medidas técnicas y organizativas proporcionales al nivel de riesgo identificado.
  • Definir, mantener y revisar los criterios de aceptación del riesgo, asegurando que los riesgos residuales sean aprobados formalmente por la Dirección.
  • Proteger los activos de información y los sistemas que los soportan, incluyendo la seguridad física y ambiental, la protección de las comunicaciones y la seguridad en el ciclo de vida de los sistemas de información.
  • Promover la formación y concienciación del personal, reforzando el principio de mínimo privilegio, el deber de confidencialidad y el uso seguro de los sistemas.
  • Establecer mecanismos para la prevención, detección y gestión de incidentes de seguridad, incluyendo la supervisión de proveedores y servicios externalizados.
  • Garantizar el cumplimiento de la normativa aplicable, incluida la protección de datos personales, y supervisar la eficacia del SGSI promoviendo su mejora continua.
  • Garantizar el cumplimiento de los requisitos contractuales relacionados con la seguridad de la información establecidos con clientes, proveedores y terceros.

1.4         MARCO NORMATIVO

Las referencias utilizadas para la elaboración de la presente Política, así como del resto de normativa y procedimientos de seguridad de la información, se recogen internamente en Qualitas Cloud, apartado de “Legislación y Normativa” de la biblioteca, que se actualiza anualmente para garantizar la identificación, revisión y cumplimiento de los requisitos legales, reglamentarios y normativos aplicables, especialmente en materia de protección de datos personales y seguridad de la información.

Asimismo, se han tenido en cuenta la Guía CCN-STIC-821 “Normas de Seguridad en el ENS” y el Anexo I de la Guía CCN-STIC-822 “Procedimientos de Seguridad en el ENS”.

GMR Canarias mantendrá identificadas y evaluará la aplicabilidad de las guías de seguridad publicadas por el Centro Criptológico Nacional (CCN), adoptando aquellas que resulten pertinentes para reforzar el cumplimiento del ENS y mejorar continuamente su SGSI.

1.5         PRINCIPIOS BÁSICOS

GMR Canarias garantizará que todos los servicios se presten apoyados en sistemas de información que incorporen los principios básicos de seguridad establecidos en el ENS:

1.5.1         Alcance estratégico

La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles de GMR Canarias y deberá coordinarse e integrarse con el resto de las iniciativas estratégicas de forma coherente.

1.5.2         Seguridad integral

La seguridad de la información abarca los aspectos técnicos, humanos, organizativos y físicos. GMR Canarias promoverá la formación y concienciación del personal y garantizará que las funciones de seguridad sean realizadas por personal cualificado, tanto interno como de proveedores.

1.5.3         Gestión de la seguridad basada en riesgos

GMR Canarias gestionará los riesgos de seguridad mediante procesos de identificación, análisis y tratamiento, implantando medidas proporcionales que permitan reducirlos a niveles aceptables según la criticidad de la información y los servicios.

1.5.4         Prevención

Los sistemas incorporarán medidas de seguridad que permitan prevenir incidentes, aplicando los controles establecidos en el ENS y aquellos adicionales derivados del análisis de riesgos.

1.5.5         Detección

Se establecerán mecanismos de monitorización y control que permitan detectar anomalías o incidentes de seguridad en los sistemas y servicios.

1.5.6         Respuesta

GMR Canarias dispondrá de procedimientos para la gestión y respuesta a incidentes de seguridad, así como de mecanismos de coordinación con organismos y entidades competentes.

1.5.7         Recuperación

Se establecerán medidas que permitan la recuperación de los sistemas y la continuidad de los servicios en caso de incidente, incluyendo copias de seguridad y mecanismos de restauración.

1.5.8         Proporcionalidad

Las medidas de seguridad serán proporcionales a los riesgos identificados y a la criticidad de la información y de los servicios.

1.5.9         Existencia de líneas de defensa

La seguridad se basará en un modelo que contenga múltiples capas de protección que incluyan controles de acceso, protección de infraestructuras, seguridad de comunicaciones y protección de la información.

1.5.10      Reevaluación periódica y vigilancia continua

Las medidas de seguridad serán objeto de seguimiento, evaluación y mejora continua para garantizar su eficacia y adecuación a la evolución de los riesgos.

1.5.11      Seguridad por defecto y desde el diseño

Los sistemas se diseñarán y configurarán aplicando el principio de seguridad desde el diseño y por defecto, limitando la funcionalidad al mínimo necesario.

1.5.12      Diferenciación de responsabilidades

Se establecerán roles y responsabilidades claramente definidos en materia de seguridad de la información, incluyendo los responsables de la información, del servicio, del sistema y de la seguridad.

1.6         OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN

GMR Canarias establecerá objetivos de seguridad de la información que serán:

  • Coherentes con la presente Política.
  • Medibles, cuando sea posible.
  • Monitorizados y revisados periódicamente.
  • Comunicados a las partes interesadas pertinentes.

Entre otros, podrán incluir objetivos relacionados con:

  • La reducción del número de incidentes de seguridad.
  • El cumplimiento de los tiempos de actualización de sistemas.
  • La disponibilidad de los servicios críticos.
  • El nivel de concienciación del personal.

Los objetivos serán definidos y revisados en el marco del SGSI. Asimismo, se establecerán indicadores de desempeño (KPIs) que permitan evaluar la eficacia del SGSI y el grado de cumplimiento de los objetivos de seguridad de la información.

2          ORGANIZACIÓN DE LA SEGURIDAD

La gestión de la seguridad de la información en GMR Canarias se basa en una estructura organizativa formal, definida y aprobada por la Dirección, conforme al ENS y SGSI.

Esta estructura garantiza la asignación clara de responsabilidades sobre la información, los servicios, los sistemas y la seguridad, asegurando la adecuada segregación de funciones y coordinación entre los distintos roles.

En particular, se contemplan los roles definidos en el ENS, como Responsable de la Información, Responsable del Servicio, Responsable de Seguridad y Responsable del Sistema.

Todos los usuarios de los sistemas de información son responsables del uso adecuado y seguro de la información y de los recursos puestos a su disposición, debiendo cumplir esta Política, su normativa de desarrollo y las instrucciones de seguridad aplicables.

Asimismo, GMR Canarias mantendrá mecanismos de cooperación y coordinación en materia de seguridad con autoridades competentes y organismos especializados, incluyendo el CCN-CERT, para la gestión y comunicación de incidentes y amenazas.

2.1         DEFINICIÓN DE ROLES DE SEGURIDAD

La gestión de la seguridad de la información en GMR Canarias se apoya en una estructura organizativa definida conforme a lo establecido en el artículo 11 del ENS, y en las recomendaciones recogidas en la guía CCN-STIC-801 “Responsabilidades y funciones”.

Las responsabilidades en materia de seguridad de la información se distribuyen entre los distintos órganos y roles de la organización, garantizando la adecuada segregación de funciones, la coordinación entre las distintas áreas y la correcta gestión de los sistemas de información durante todo su ciclo de vida.

La designación formal de las personas que desempeñan estos roles corresponde a la Dirección de GMR Canarias y quedará debidamente documentada.

Las funciones y responsabilidades específicas de cada uno de estos roles se desarrollan en el apartado 2.4 “Detalle de los roles” de esta Política, así como, en la normativa interna de seguridad y en los procedimientos del SGSI.

2.2         PROCESO DE TOMA DE DECISIONES Y COORDINACIÓN

La toma de decisiones en materia de seguridad de la información en GMR Canarias se realizará de forma estructurada, conforme al modelo de gobierno de la seguridad y a las responsabilidades asignadas a los distintos roles de la organización.

Las decisiones estratégicas, como la aprobación de políticas, la asignación de recursos, la aceptación de riesgos significativos y la aprobación de medidas relevantes, corresponderán a la Dirección, a propuesta del Comité de Seguridad de la Información o del Responsable de Seguridad.

El Comité de Seguridad de la Información actuará como órgano de coordinación y apoyo, facilitando la comunicación entre áreas y promoviendo decisiones alineadas con los objetivos de seguridad. Entre sus funciones se incluyen el análisis de riesgos, la evaluación del estado de seguridad de los sistemas, la revisión de incidentes relevantes y la propuesta de mejoras.

El Responsable de Seguridad coordinará la implantación y mantenimiento de las medidas de seguridad, supervisará el cumplimiento de la normativa aplicable y canalizará la información relevante hacia el Comité y la Dirección.

Asimismo, se establecerán mecanismos de coordinación entre los responsables de la información, del servicio y del sistema, para garantizar la protección de la información durante todo su ciclo de vida y la correcta aplicación de las medidas de seguridad.

Cuando resulte necesario, GMR Canarias mantendrá mecanismos de coordinación con organismos externos competentes en seguridad y ciberseguridad, así como con proveedores tecnológicos, para la adecuada gestión de riesgos, incidentes y amenazas.

2.3         PROCESO DE DESIGNACIÓN Y RESOLUCIÓN DE CONFLICTOS

La designación de los responsables en materia de seguridad de la información en GMR Canarias será realizada formalmente por la Dirección, quedando documentada y comunicada a las personas designadas.

De acuerdo con el ENS, la Dirección designará, entre otros, los siguientes roles:

  • Responsable de Seguridad de la Información.
  • Responsable del Sistema.
  • Responsable de la Información.
  • Responsable del Servicio.
  • Responsable de coordinación.
  • Integrantes del Comité de Seguridad de la Información.
  • Delegado de Protección de Datos (DPD).

La asignación de responsabilidades se realizará atendiendo a las funciones, competencias y capacidad de decisión de las personas designadas, garantizando la segregación de funciones y evitando conflictos de interés.

Las designaciones y sus modificaciones deberán quedar debidamente registradas y actualizadas en la documentación del SGSI.

En caso de conflicto entre responsables en relación con la aplicación de medidas de seguridad, la gestión de riesgos o la toma de decisiones:

  1. El asunto será analizado inicialmente por los responsables implicados con la coordinación del Responsable de Seguridad.
  2. Si no se alcanza acuerdo, se elevará al Comité de Seguridad de la Información para su análisis y propuesta de resolución.
  3. En última instancia, la Dirección adoptará la decisión definitiva cuando el conflicto afecte a aspectos estratégicos, aceptación de riesgos o asignación de recursos.

Este proceso garantiza que las decisiones en materia de seguridad se adopten de forma coordinada, documentada y alineada con los objetivos de seguridad de la organización.

2.4         DETALLE DE LOS ROLES

2.4.1         Dirección (Consejero Delegado)/ Responsable de la Información

La Dirección es el órgano responsable de establecer el marco estratégico y organizativo de la seguridad de la información en GMR Canarias, garantizando la disponibilidad de los recursos necesarios para la implantación, mantenimiento y mejora continua del SGSI y el cumplimiento del ENS.

Entre sus funciones principales se encuentran:

  • Aprobar la Política de Seguridad de la Información y sus revisiones periódicas.
  • Designar formalmente a los responsables en materia de seguridad de la información, incluyendo al Responsable de Seguridad, Responsable del Sistema, Responsable del Servicio y Responsable de la Información.
  • Garantizar la disponibilidad de los recursos humanos, técnicos y organizativos necesarios para la implantación y mantenimiento del SGSI.
  • Impulsar la integración de la seguridad de la información en la estrategia y en los procesos de GMR Canarias.
  • Supervisar el estado de la seguridad de la información a través de los informes presentados por el Responsable de Seguridad y el Comité de Seguridad de la Información.
  • Aprobar las medidas necesarias para tratar los riesgos de seguridad identificados.
  • Aprobar las acciones correctivas y de mejora derivadas de auditorías, revisiones o incidentes de seguridad relevantes.
  • Promover una cultura organizativa orientada a la seguridad de la información y al cumplimiento normativo.

2.4.2         Responsable de seguridad de la información

El Responsable de Seguridad de la Información es la persona encargada de coordinar y supervisar la gestión de la seguridad de la información en GMR Canarias, velando por el cumplimiento de la presente Política, del ENS y del SGSI.

Entre sus funciones principales se encuentran:

  • Mantener y verificar el nivel adecuado de seguridad de la Información manejada y de los Servicios electrónicos prestados por los sistemas de información.
  • Promover la formación y concienciación en materia de seguridad de la información.
  • Designar responsables de la ejecución del análisis de riesgos, de la Declaración de Aplicabilidad, identificar medidas de seguridad, determinar configuraciones necesarias, elaborar documentación del sistema.
  • Proporcionar asesoramiento para la determinación de la Categoría del Sistema, en colaboración con el Responsable del Sistema y/o Comité de Seguridad.
  • Participar en la elaboración e implantación de los planes de mejora de la seguridad y, llegado el caso, en los planes de continuidad, procediendo a su validación.
  • Gestionar las revisiones externas o internas del sistema.
  • Gestionar los procesos de certificación.
  • Elevar al Comité de Seguridad la aprobación de cambios y otros requisitos del sistema.
  • Aprobar los procedimientos de seguridad y poner en conocimiento al Comité de Seguridad de las modificaciones que se hayan realizado a lo largo del periodo en curso.

2.4.3         Responsable del sistema

El Responsable del Sistema es la persona encargada de garantizar el correcto funcionamiento técnico y operativo de los sistemas de información, así como la implantación de las medidas de seguridad que les resulten aplicables.

Entre sus funciones principales se encuentran:

  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, elaborando los procedimientos operativos necesarios.
  • Definir la tipología y la gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Detener el acceso a información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.
  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
  • Proporcionar asesoramiento para la determinación de la Categoría del Sistema, en colaboración con el Responsable de Seguridad y/o Comité de Seguridad.
  • Participar en la elaboración e implantación de los planes de mejora de la seguridad y llegado el caso en los planes de continuidad.
  • Llevar a cabo, en su caso, las funciones del administrador de la seguridad del sistema:
  • La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad.
  • La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la actividad desarrollada en el sistema y su correspondencia con lo autorizado.
  • Aprobar los cambios en la configuración vigente del Sistema de Información.
  • Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
  • Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información.
  • Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
  • Monitorizar el estado de seguridad proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.
  • Informar al Responsable de Seguridad de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
  • Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

2.4.4         Responsable de la información y Responsable de los servicios

El Responsable de la Información y el Responsable de los servicios son las personas encargadas de determinar los requisitos de seguridad aplicables a la información y a los servicios gestionada por GMR Canarias.

Entre sus funciones principales se encuentran:

  • Establecer y elevar para su aprobación al Comité de Seguridad  los requisitos de seguridad aplicables a la Información (niveles de seguridad de la Información) y a los Servicios (niveles de seguridad de los servicios), dentro del marco establecido en el Anexo I del ENS, pudiendo recabar una propuesta al Responsable de Seguridad y teniendo en cuenta la opinión del Responsable del Sistema.
  • Dictaminar respecto a los derechos de acceso a la información y los servicios.
  • Aceptar los niveles de riesgo residual que afectan a la información y los servicios.
  • Poner en comunicación del Responsable de Seguridad cualquier variación respecto a la Información y los Servicios de los que es responsable, especialmente la incorporación de nuevos Servicios o Información a su cargo. El cual dará traslado de dichos cambios, al Comité de Seguridad de la Información, en su próxima reunión.
  • Valoración del impacto que tendría un incidente que afectase a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, siguiendo el procedimiento descrito en el Anexo I, que valorará las consecuencias de un impacto negativo sobre la seguridad de los servicios se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y de los derechos de los ciudadano.

2.4.5         Comité de seguridad de la información

El Comité de Seguridad de la Información es el órgano responsable de supervisar la gobernanza de la seguridad de la información dentro de GMR Canarias.

Entre sus funciones principales se encuentran:

  • Estar permanentemente informado de la normativa que regula la Certificación de Conformidad con el ENS, incluyendo sus normas de acreditación, certificación, guías, manuales, procedimientos e instrucciones técnicas.
  • Estar permanentemente informado de la relación de Entidades de Certificación acreditadas y organizaciones, públicas y privadas, certificadas.
  • Estar permanentemente informado de la relación de esquemas de certificación de la seguridad con los que la Administración Pública tiene establecidos arreglos o acuerdos de reconocimiento mutuo de certificados.
  • Proponer directrices y recomendaciones, que serán recogidas en las correspondientes actas de las reuniones del Comité, a las que su presidente, deberá dar cumplida respuesta.
  • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
  • Atender las inquietudes, en materia de Seguridad de la Información, de la Administración y de las diferentes áreas, informando regularmente del estado de la seguridad de la información a la Dirección.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes Departamentos, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
  • Asesorar en materia de seguridad de la información, siempre y cuando le sea requerido.
  • Revisar la Política de Seguridad de la Información previa aprobación por el Órgano Superior.
  • Aprobar la Normativa de Uso de Medios electrónicos para todo el personal.
  • Aprobar el Mapa de Normativa con la lista de Normativa y Procedimientos de seguridad para la implantación del ENS.

Composición:

El Comité de Seguridad de la Información está compuesto por los siguientes miembros:

Presidente Consejero Delegado/ Responsable de la Información
Miembros permanentes Responsable del Sistema
Responsable de Seguridad
Responsable de Coordinación (en representación de la dirección como responsable de la información)
Miembros no permanentes Representantes de Información y Servicios
Asesores

El Comité de Seguridad de la Información se reunirá con una periodicidad mínima anual, y adicionalmente cuando se produzcan incidentes relevantes o cambios significativos en los sistemas o en el contexto de seguridad.

Al Comité de Seguridad de la Información también pueden asistir los directores de departamento y los responsables de área como responsables de los contenidos de la información y de los servicios

Todos miembros no permanentes del Comité actuarán con voz, pero sin voto y sus acuerdos requerirán, como mínimo, el voto de la mayoría simple de sus miembros.

2.4.6         Delegado de Protección de Datos (DPD)

El Delegado de Protección de Datos (DPD) es la figura responsable de supervisar el cumplimiento de la normativa en materia de protección de datos personales dentro de GMR Canarias.

Entre sus funciones principales se encuentran:

  • Informar y asesorar a GMR Canarias y a su personal sobre las obligaciones derivadas de la normativa de protección de datos.
  • Supervisar el cumplimiento de la normativa en materia de protección de datos personales.
  • Asesorar en la realización de evaluaciones de impacto en protección de datos cuando proceda.
  • Cooperar con la autoridad de control y actuar como punto de contacto con la misma.
  • Supervisar la correcta gestión de incidentes o brechas de seguridad que afecten a datos personales.
  • Colaborar con el Responsable de Seguridad en la implantación de medidas de seguridad relacionadas con la protección de datos.

El Delegado de Protección de Datos (DPD) actuará con independencia funcional conforme al Reglamento (UE) 2016/679 y colaborará con el Responsable de Seguridad en aquellas materias en las que confluyan seguridad de la información y protección de datos personales.

3          DATOS DE CARÁCTER PERSONAL

GMR Canarias tratará los datos de carácter personal de conformidad con lo establecido en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), garantizando el cumplimiento de los principios de licitud, lealtad, transparencia, minimización de datos y limitación de la finalidad.

GMR Canarias únicamente recogerá y tratará datos personales adecuados, pertinentes y limitados a lo necesario para las finalidades previstas, aplicando las medidas técnicas y organizativas necesarias para garantizar y demostrar el cumplimiento de la normativa, de acuerdo con el principio de responsabilidad proactiva.

En este sentido, GMR Canarias ha implantado, entre otras, las siguientes medidas:

  • Análisis de la base jurídica de los tratamientos.
  • Análisis de riesgos asociados al tratamiento de datos personales.
  • Evaluaciones de Impacto en Protección de Datos cuando proceda.
  • Registro de Actividades de Tratamiento.
  • Designación de un Delegado de Protección de Datos.

Del análisis de riesgos en materia de protección de datos podrán derivarse medidas adicionales de seguridad que complementen las exigidas por el ENS, en función de la categorización del sistema y del nivel de riesgo identificado.

Asimismo, en los tratamientos que impliquen tecnologías emergentes o de alto impacto, GMR Canarias aplicará los principios de privacidad desde el diseño y por defecto, garantizando un uso ético, seguro y responsable de dichas tecnologías.

Las cuestiones relativas a la seguridad de la información y la protección de datos personales se integrarán en la estructura de gobernanza y gestión de la seguridad definida en la presente Política.

4          ANÁLISIS Y GESTIÓN DE RIESGOS. INCLUSIÓN DE LOS RIESGOS CON DATOS PERSONALES

Todos los sistemas de información incluidos en el ámbito de la presente Política deberán someterse a un análisis de riesgos, mediante el cual se identificarán y evaluarán las amenazas, vulnerabilidades e impactos asociados a los activos de información.

El análisis de riesgos se realizará:

  • Al menos una vez al año.
  • Cuando se produzcan cambios significativos en la información tratada, los servicios prestados o la arquitectura del sistema.
  • Tras la ocurrencia de incidentes graves de seguridad.
  • Ante la detección de vulnerabilidades críticas o alertas relevantes que puedan afectar al sistema.
  • Cuando se produzcan modificaciones relevantes en los análisis de riesgos en materia de protección de datos o en las Evaluaciones de Impacto en Protección de Datos.

Con el fin de garantizar la coherencia en el proceso, el Responsable de Seguridad establecerá criterios comunes para la identificación, valoración y aceptación del riesgo.

La gestión del riesgo constituye un elemento esencial del SGSI, permitiendo adoptar decisiones fundamentadas para reducir los riesgos a niveles aceptables. El Comité de Seguridad velará por la adecuada asignación de recursos para el tratamiento de los riesgos identificados.

Cuando los sistemas de información traten datos personales, se aplicará lo dispuesto en el RGPD y en la LOPDGDD. El responsable o encargado del tratamiento, con el asesoramiento del Delegado de Protección de Datos (DPD), realizará el correspondiente análisis de riesgos y, cuando proceda, una Evaluación de Impacto en Protección de Datos, de las que podrán derivarse medidas adicionales de seguridad.

GMR Canarias emplea la metodología MAGERIT para la identificación y análisis de los riesgos que afecten a los activos incluidos en el inventario de activos, documentando los resultados en el correspondiente Informe de Análisis de Riesgos.

GMR Canarias definirá y mantendrá documentado su apetito de riesgo, considerándose aceptable aquel cuyo riesgo residual se sitúe dentro de los umbrales aprobados por la Dirección tras la aplicación de las medidas de tratamiento correspondientes. La Dirección de GMR Canarias aprobará formalmente los riesgos residuales y los planes de tratamiento resultantes.

En el marco del ENS, cuando el análisis de riesgos determine la necesidad de medidas de seguridad adicionales o más exigentes que las mínimas previstas, estas serán incorporadas al sistema de seguridad.

5          DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

5.1         INSTRUMENTOS DE DESARROLLO Y GESTIÓN DE LA DOCUMENTACIÓN

La presente Política se desarrollará mediante un marco normativo estructurado que garantice la correcta implantación, aplicación y control de las medidas de seguridad.

Los instrumentos documentales serán los siguientes:

Normativa de Seguridad (NOR): Desarrolla disposiciones de carácter general que regulan el uso de aspectos específicos del sistema de información. Establece reglas de obligado cumplimiento, responsabilidades y pautas de actuación para las personas usuarias. La normativa de seguridad será de aplicación obligatoria y estará disponible para el personal de GMR Canarias que utilice, opere o administre los sistemas de información y comunicaciones. Estas normas serán aprobadas formalmente por el Comité de Seguridad.

Procedimientos Técnicos de Seguridad (PRO): Describen de forma estructurada las tareas operativas necesarias para la implantación y ejecución de las medidas de seguridad. Están orientados a la ejecución técnica y resultan especialmente útiles en actividades repetitivas o sistemáticas.
Siempre que sea posible, evitarán dependencias innecesarias de marcas comerciales o proveedores específicos, salvo cuando resulte imprescindible por razones técnicas. Su aprobación y revisión corresponderá al Responsable de Seguridad.

Adicionalmente, podrán elaborarse guías, instrucciones técnicas u otros documentos de apoyo relativos a aspectos específicos de la seguridad de la información. Su aprobación y revisión corresponderá al Responsable de Seguridad o al Responsable del Sistema.

Toda la documentación del SGSI estará sujeta a control documental, incluyendo su identificación, aprobación, revisión periódica, control de versiones y distribución controlada.

5.2         ESTRUCTURA GENERAL

El desarrollo de la normativa de seguridad se realizará tomando como base el análisis de riesgos de GMR Canarias y considerando los requisitos específicos de seguridad de la información, así como las medidas recogidas en el Anexo II del ENS.

El marco normativo de seguridad se estructurará en los siguientes ámbitos:

Marco organizativo: Orientado a la gestión y gobierno de la seguridad de la información en GMR Canarias. A partir de la presente Política se desarrollará el resto de la normativa de seguridad.

Marco operacional: Constituido por el conjunto de medidas destinadas a proteger la operación de los sistemas de información como un conjunto integral de componentes orientados a la prestación de servicios. Incluye, entre otros, los siguientes ámbitos:

  • Organización y planificación: análisis de riesgos, definición de la arquitectura de seguridad y control de la adquisición e incorporación de nuevos componentes del sistema.
  • Control de acceso: regulación y control del acceso lógico a la información y a los sistemas de información.
  • Explotación: medidas para garantizar la seguridad en la operación de los sistemas, incluyendo inventario de activos, gestión de incidencias, gestión de cambios, gestión de la configuración y registro de actividad.
  • Servicios externos: medidas destinadas a garantizar que proveedores y terceros cumplan las políticas y normas de seguridad de la información de GMR Canarias.
  • Continuidad del servicio: acciones orientadas a garantizar la continuidad de los servicios ante interrupciones de la operación.
  • Monitorización del sistema: supervisión de los sistemas para garantizar su disponibilidad y proteger los procesos críticos frente a fallos o situaciones de desastre.

Medidas de protección: Destinadas a proteger los distintos activos de información, de acuerdo con su naturaleza y con el nivel de seguridad requerido en cada dimensión de seguridad. Incluyen, entre otros, los siguientes ámbitos:

  • Protección de instalaciones e infraestructuras: prevención de accesos no autorizados, daños o interferencias en las instalaciones y equipamientos.
  • Gestión del personal: medidas para reducir los riesgos derivados de errores humanos o del uso inadecuado de los sistemas.
  • Protección de equipos: seguridad de los dispositivos utilizados para el tratamiento de la información.
  • Protección de las comunicaciones: seguridad de redes y sistemas de comunicación.
  • Protección de soportes de información: seguridad de la información almacenada en soportes físicos o electrónicos.
  • Protección de aplicaciones: incorporación de medidas de seguridad durante el desarrollo, implantación y mantenimiento de los sistemas.
  • Protección de la información: conforme a la normativa vigente, incluyendo el RGPD y la LOPDGDD.
  • Clasificación de la información: definición de criterios de clasificación, tipología de información, flujos y procesos de elaboración, aprobación y acceso a la documentación.
  • Protección de los servicios: medidas necesarias para garantizar la seguridad en la prestación de servicios basados en tecnologías de la información.

5.3         GESTIÓN DE LA DOCUMENTACIÓN

La gestión de la documentación relacionada con la seguridad de la información tendrá en cuenta su ciclo de vida (generación, revisión, aprobación y modificación), estableciendo las responsabilidades correspondientes en cada fase.

A tal efecto, la gestión documental del SGSI contará con los siguientes roles:

  • Dirección (Consejero Delegado) /Responsable de la Información (RI)
  • Responsable de Seguridad de la Información (RSI)
  • Responsable del Sistema (RS)
  • Responsable del Servicio (RSE)
  • Comité de Seguridad de la Información (CSI)
  • Responsable de Coordinación del SGSI (RC)
  • Personal técnico (PT)

En función del tipo de documento y de la fase del ciclo de vida, se establece la siguiente matriz de responsabilidades.

Generación Aprobación Modificación
Políticas CSI Dirección/RI CSI
Normativas RSI CSI RSI
Procedimientos RS/RSI RSI/CSI RS/RSI
Instrucciones RSE/PT RSI/CSI RSE/PT

5.4         SANCIONES PREVISTAS POR INCUMPLIMIENTO

El incumplimiento de la presente Política, así como de la normativa y procedimientos que la desarrollen, podrá dar lugar a la adopción de las medidas disciplinarias o correctoras correspondientes.

Estas se aplicarán de forma proporcional a la gravedad del incumplimiento, considerando su naturaleza, las consecuencias derivadas y la posible reiteración.

El procedimiento disciplinario y las sanciones se ajustarán a la normativa vigente aplicable, a la normativa interna de GMR Canarias y, cuando proceda, al régimen disciplinario del sector público.

6          SEGURIDAD DE LA INFORMACIÓN

GMR Canarias establecerá un sistema de identificación, clasificación y etiquetado de la información que permita garantizar su adecuada protección durante todo su ciclo de vida. Este sistema permitirá identificar de forma clara, entre otros aspectos:

  • El tipo de información
  • El área o departamento responsable.
  • El nivel de clasificación asignado.
  • La existencia de datos personales u otra información especialmente protegida.
  • Cualquier otra indicación necesaria para su correcta gestión, protección y difusión.

Las normas específicas de clasificación, etiquetado y tratamiento de la información se desarrollarán mediante la normativa y los procedimientos de seguridad que desarrollen la presente Política.

6.1         CLASIFICACIÓN DE LA INFORMACIÓN

Toda la información gestionada en los sistemas de información de GMR Canarias deberá contar con medidas de seguridad adecuadas, conforme a lo establecido en el ENS, con el fin de garantizar su protección en las dimensiones de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.

Las medidas de seguridad se determinarán considerando, entre otros, los siguientes aspectos:

  • Nivel de acceso requerido a la información.
  • Alcance de su difusión.
  • Naturaleza de la información tratada.
  • Obligaciones legales o regulatorias aplicables.

A tal efecto, GMR Canarias establece un sistema de clasificación de la información que permite determinar el nivel de protección requerido para cada tipo de información durante todo su ciclo de vida.

Para su clasificación se tendrán en cuenta, entre otros, los siguientes criterios:

  • (R) Requisitos legales: obligaciones derivadas de la normativa aplicable o de restricciones legales sobre la información.
  • (D) Difusión de la información: personas o colectivos autorizados para acceder a la información.
R D Descripción Ejemplos
 

 

Pública

 Información cuya difusión puede realizarse sin restricciones. Su divulgación no genera perjuicios para GMR Canarias ni para terceros. Puede ser accesible al público general o difundirse externamente conforme a la normativa aplicable. Información publicada en la web corporativa – Información difundida en cumplimiento de la normativa de transparencia – Catálogos de servicios o información institucional pública – Información divulgada por obligación legal.
 

 

 

Uso Oficial

  

 

 

Interno
Información destinada exclusivamente al uso interno de GMR Canarias o a entidades colaboradoras autorizadas. Su divulgación no autorizada podría afectar al funcionamiento interno de la organización, aunque no produciría daños graves.
Procedimientos internos de trabajo – Documentación de gestión interna de los departamentos – Comunicaciones internas – Manuales operativos o documentación técnica interna – Aplicaciones o desarrollos informáticos internos.
 

 

 

Confidencial

 Información especialmente sensible cuyo acceso está restringido exclusivamente al personal autorizado que la necesite para el desempeño de sus funciones. Su divulgación no autorizada podría ocasionar perjuicios relevantes para GMR Canarias, para terceros o afectar a derechos de las personas. Información económica o financiera interna – Contratos con proveedores – Planificación estratégica – Información relativa a la seguridad de los sistemas – Datos personales de empleados o terceros – Credenciales o información de autenticación – Expedientes administrativos o información sujeta a restricciones legales.

La clasificación de la información determinará las medidas de protección aplicables durante todo su ciclo de vida, incluyendo su acceso, almacenamiento, transmisión y eliminación, conforme al ENS y a la normativa interna de seguridad de la información.

Toda la información deberá ser clasificada por su responsable en el momento de su creación o incorporación al sistema de información.

El Responsable de la Información determinará la clasificación aplicable a la información bajo su responsabilidad y revisará dicha clasificación cuando se produzcan cambios relevantes en su naturaleza, uso o requisitos legales.

7          OBLIGACIONES del PERSONAL

Todo el personal de GMR Canarias tiene la obligación de conocer y cumplir la presente Política, así como la normativa de seguridad que la desarrolla en la medida en que resulte aplicable a sus funciones.

El Comité de Seguridad adoptará las medidas necesarias para garantizar que la Política y su normativa asociada sean adecuadamente comunicadas y accesibles a todas las personas destinatarias.

A tal efecto, la Política estará disponible en los sistemas de información corporativos y, al menos una vez al año, se recordará al personal la necesidad de su conocimiento y cumplimiento, notificándose igualmente cualquier modificación que se produzca.

El personal con responsabilidades en el uso, operación o administración de sistemas de tecnologías de la información y comunicaciones (STIC) recibirá la formación necesaria para su uso seguro, especialmente antes de asumir nuevas responsabilidades o cuando se produzcan cambios en sus funciones.

El uso de los sistemas de información deberá realizarse conforme a las normas de uso aceptable definidas por GMR Canarias, quedando prohibido cualquier uso indebido, no autorizado o contrario a la normativa vigente.

La presente Política será comunicada a todo el personal y estará disponible para las partes interesadas pertinentes.

8          PROFESIONALIDAD

La seguridad de los sistemas de información será atendida, revisada y auditada por personal cualificado, con la formación, experiencia y competencias necesarias para desempeñar sus funciones en todas las fases del ciclo de vida de los sistemas: instalación, configuración, operación, mantenimiento, gestión de incidencias y desmantelamiento.

GMR Canarias garantizará que el personal implicado en la seguridad de la información mantenga un nivel adecuado de capacitación y actualización, mediante programas de formación, concienciación y mejora de competencias.

Cuando se contraten servicios externos relacionados con la seguridad de la información, se verificará que los proveedores dispongan de capacidad técnica y niveles adecuados de gestión, evaluando su competencia y cumplimiento de los requisitos de seguridad establecidos.

GMR Canarias mantendrá evidencias documentadas de la formación, cualificación y competencias del personal con responsabilidades en seguridad de la información.

9          RELACIÓN CON TERCERAS PARTES

Cuando GMR Canarias utilice servicios de terceros o comparta información con entidades externas, se garantizará el cumplimiento de los principios y requisitos de seguridad establecidos en la presente Política y en la normativa aplicable.

Las terceras partes que accedan a información o sistemas de GMR Canarias deberán asumir las obligaciones de seguridad correspondientes, que se incorporarán a los contratos o acuerdos de prestación del servicio.

Asimismo, se establecerán mecanismos de comunicación y gestión de incidentes de seguridad, garantizando que el personal de terceros disponga de un nivel adecuado de concienciación en seguridad de la información.

Cuando resulte aplicable, los proveedores deberán acreditar el cumplimiento del ENS mediante la correspondiente Declaración o Certificación de Conformidad, según la categoría del sistema.

GMR Canarias podrá realizar revisiones o auditorías de seguridad sobre los servicios prestados por terceros para verificar el cumplimiento de las obligaciones establecidas.

Si algún requisito de seguridad no pudiera ser cumplido por un tercero, deberá realizarse un análisis de riesgos, que será evaluado y aprobado por el Comité de Seguridad antes de autorizar la prestación del servicio.

Los proveedores serán evaluados periódicamente en materia de seguridad de la información, verificando el cumplimiento de los requisitos establecidos contractualmente. Cuando proceda, se establecerán acuerdos de nivel de servicio (SLA) que incluyan requisitos específicos de seguridad.

9.1         TERCERAS PARTES COMO SERVICIOS EXTERNALIZADOS DE SEGURIDAD

Cuando GMR Canarias contrate servicios externalizados relacionados con la seguridad de la información, la entidad proveedora deberá designar, salvo causa debidamente justificada, un Punto de Contacto (POC) en materia de seguridad.

Este punto de contacto actuará como interlocutor principal con GMR Canarias para todas las cuestiones relacionadas con la seguridad del servicio, incluyendo el cumplimiento de requisitos de seguridad, la coordinación de actuaciones y la comunicación y gestión de incidentes.

El POC deberá contar con el respaldo de la dirección de la entidad proveedora y disponer de la capacidad necesaria para canalizar las comunicaciones relativas a la seguridad de la información.

Con carácter general, este punto de contacto corresponderá al Responsable de Seguridad de la entidad proveedora o a una persona integrada o vinculada a su función de seguridad.

10     Autorización y control de acceso

El acceso a los sistemas de información estará controlado y limitado a usuarios, procesos, dispositivos u otros sistemas debidamente autorizados, restringiéndose únicamente a las funciones necesarias para el desempeño de sus tareas.

La autorización de acceso corresponderá al Responsable de la Información y al Responsable del Servicio, quienes garantizarán que los permisos concedidos se ajusten a los principios de necesidad de conocer y mínimo privilegio.

Estos responsables velarán por el cumplimiento de estas disposiciones y por la correcta aplicación de las medidas y directrices de seguridad establecidas por el Responsable de Seguridad.

Todos los accesos deberán realizarse mediante identificación única de usuario, de forma que quede registrada la asignación de permisos, su tipología y las actividades realizadas, garantizando la trazabilidad de las acciones y la posible exigencia de responsabilidades en caso de uso indebido.

GMR Canarias establecerá medidas específicas de seguridad para el acceso remoto y el teletrabajo, garantizando la protección de la información cuando se acceda desde ubicaciones externas o dispositivos no corporativos.

GMR Canarias establecerá el uso de mecanismos criptográficos adecuados para proteger la confidencialidad, integridad y autenticidad de la información, especialmente durante su transmisión y almacenamiento. Estos mecanismos se ajustarán a las recomendaciones del Centro Criptológico Nacional (CCN) y a estándares reconocidos internacionalmente.

11     Protección de las instalaciones

Los sistemas de información se ubicarán en áreas protegidas mediante controles de acceso físico, estableciendo un perímetro de seguridad que proteja instalaciones, equipos e información frente a accesos no autorizados, daños o interferencias.

El acceso a los locales se realizará únicamente a través de vías autorizadas y controladas, mediante medidas como barreras físicas, sistemas de control de accesos o zonas de carga y descarga controladas, que protejan las áreas que albergan sistemas de información.

Dentro del perímetro de seguridad se identificarán las ubicaciones que contengan información sensible o confidencial, restringiendo su acceso al personal autorizado mediante mecanismos de identificación adecuados.

Las medidas de seguridad física (puertas, cerraduras, alarmas o sistemas de vigilancia) deberán estar definidas, documentadas y comunicadas al personal mediante las correspondientes instrucciones de acceso.

Los Responsables de la Información y del Servicio velarán por el cumplimiento de estas medidas conforme a las directrices del Responsable de Seguridad, y las medidas implantadas serán revisadas periódicamente para garantizar su eficacia y adecuación al nivel de riesgo.

12     Adquisición de productos de seguridad y contRAtación de servicios de seguridad

En la adquisición de productos de seguridad TIC, seguridad física y servicios relacionados con la seguridad de la información, GMR Canarias incorporará criterios de seguridad desde las fases iniciales de selección y contratación.

Se valorará que los productos o servicios dispongan de certificaciones o acreditaciones de seguridad emitidas por organismos reconocidos, incluyendo las promovidas por el Centro Criptológico Nacional (CCN), u otros esquemas de certificación de ámbito nacional o internacional.

Los requisitos de seguridad aplicables se incorporarán, cuando proceda, en pliegos de contratación, acuerdos contractuales o condiciones de servicio.

Los proveedores deberán designar un punto de contacto (POC) en materia de seguridad, que actuará como interlocutor con GMR Canarias para la gestión de obligaciones de seguridad, coordinación y comunicación de incidentes.

Este requisito será especialmente relevante en servicios que impliquen tratamiento de información sensible o servicios tecnológicos críticos, incluidos servicios en la nube.

Cuando resulte necesario, y en función del análisis de riesgos, los requisitos de seguridad podrán extenderse a la cadena de suministro de los proveedores.

13     Mínimo privilegio

Los sistemas de información de GMR Canarias se diseñarán, configurarán y operarán conforme al principio de mínimo privilegio, otorgando únicamente los accesos, permisos y funcionalidades estrictamente necesarios para el desempeño de las funciones autorizadas.

A tal efecto:

  • Los sistemas proporcionarán solo la funcionalidad necesaria para el desarrollo de las actividades y objetivos organizativos, competenciales o contractuales de GMR Canarias.
  • Los privilegios de operación, administración y gestión se limitarán al personal autorizado y se ejercerán desde ubicaciones, dispositivos o entornos autorizados, pudiendo establecerse restricciones adicionales como limitaciones horarias o de acceso.
  • Las funciones o componentes no necesarios para el funcionamiento del sistema serán eliminados o desactivados mediante controles de configuración.
  • El uso ordinario de los sistemas deberá ser sencillo y seguro, requiriendo una acción consciente del usuario para realizar operaciones que puedan comprometer la seguridad.
  • Se aplicarán guías de configuración segura adaptadas a la categorización del sistema y a los requisitos de seguridad, con el fin de reducir la superficie de exposición y los riesgos asociados.

14     Integridad y actualización de los sistemas

Todo elemento físico o lógico de los sistemas de información de GMR Canarias requerirá autorización formal previa para su instalación, modificación o retirada, conforme a los procedimientos de gestión de cambios y control de configuración establecidos.

La organización mantendrá conocimiento actualizado del estado de seguridad de los sistemas, teniendo en cuenta las recomendaciones de los fabricantes, las vulnerabilidades conocidas y las actualizaciones o parches de seguridad disponibles.

Para ello, GMR Canarias establecerá mecanismos de identificación, evaluación y tratamiento de vulnerabilidades, así como procesos controlados de gestión de actualizaciones y parches, actuando con la diligencia necesaria para reducir los riesgos asociados.

Las actualizaciones y modificaciones se realizarán de forma planificada y controlada, garantizando que no comprometan la seguridad, integridad ni disponibilidad de los servicios prestados.

GMR Canarias dispondrá de un proceso formal de gestión de vulnerabilidades que incluirá:
Identificación de vulnerabilidades.

  • Evaluación de su criticidad.
  • Priorización de su tratamiento.
  • Seguimiento hasta su resolución.

15     Protección de otros sistemas de infORmación interconectados

Los sistemas de información de GMR Canarias deberán proteger su perímetro de seguridad, especialmente cuando estén interconectados con otros sistemas o redes externas.

Cuando exista conexión con redes públicas de comunicaciones, se adoptarán las medidas técnicas y organizativas necesarias para proteger la información y los servicios prestados.

Toda interconexión con sistemas de organismos públicos, entidades privadas o proveedores deberá ser analizada previamente desde el punto de vista de la seguridad, evaluando los riesgos y estableciendo las medidas de protección correspondientes.

Los puntos de interconexión deberán estar controlados y protegidos mediante mecanismos como control de accesos, segmentación de redes, filtrado de tráfico y monitorización de comunicaciones, u otras medidas adecuadas según los riesgos identificados.

Las condiciones de seguridad de las interconexiones deberán estar documentadas y aprobadas por los responsables correspondientes, conforme a la presente Política y a la normativa interna que la desarrolle.

16     Registro de la actividad y protección frente a código dañino

GMR Canarias implementará mecanismos de registro y monitorización de la actividad en los sistemas de información, conforme a lo establecido en el ENS, con el fin de garantizar la seguridad de los sistemas.

Estos registros permitirán monitorizar, analizar e investigar actividades indebidas o no autorizadas, así como detectar incidentes de seguridad o comportamientos anómalos que puedan afectar a la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de la información.

Los registros de actividad deberán permitir identificar al usuario o proceso que realiza cada acción, garantizando la identificación única de los usuarios y la trazabilidad de sus actividades cuando sea necesario para fines de seguridad.

Asimismo, podrán aplicarse mecanismos de monitorización del tráfico y análisis de comunicaciones con fines de seguridad, tales como prevenir accesos no autorizados, detectar y bloquear código malicioso, impedir ataques y proteger la integridad y disponibilidad de los servicios.

Estas actuaciones se realizarán respetando los derechos fundamentales y la normativa de protección de datos personales, aplicando los principios de limitación de la finalidad, minimización de datos y limitación del plazo de conservación.

17     Incidentes de seguridad

GMR Canarias establecerá mecanismos de prevención, detección, gestión y respuesta ante incidentes de seguridad, con el objetivo de minimizar su impacto en los sistemas de información y los servicios prestados.

Se dispondrá de procedimientos formales de gestión de incidentes que permitan detectar y registrar incidentes mediante la monitorización de los sistemas, analizarlos y clasificarlos según su naturaleza, impacto y criticidad, aplicar medidas de contención, resolución y recuperación, y documentar las actuaciones realizadas para su seguimiento y mejora continua.

Cuando los incidentes tengan impacto significativo, se comunicarán a los organismos competentes conforme al ENS, incluyendo, cuando proceda, al CCN-CERT como centro de respuesta a incidentes de referencia para las administraciones públicas.

Si los incidentes afectan a datos personales, se actuará conforme al RGPD y a la LOPDGDD, evaluando la existencia de brechas de seguridad de datos personales y realizando, cuando proceda, las notificaciones correspondientes a la Agencia Española de Protección de Datos y a los interesados afectados.

Asimismo, GMR Canarias establecerá un punto de contacto para la comunicación de incidentes o vulnerabilidades detectadas por terceros, que permitirá su recepción, análisis y coordinación con el Responsable de Seguridad y, cuando proceda, con los organismos competentes en materia de ciberseguridad.

18     Continuidad de la actividad

GMR Canarias establecerá medidas para garantizar la continuidad de los servicios y la recuperación de los sistemas de información ante incidentes que afecten a su disponibilidad.

Los sistemas dispondrán de mecanismos de respaldo y copias de seguridad, así como de procedimientos de recuperación de la información y de los servicios en caso de pérdida o degradación de los medios habituales de trabajo.

Asimismo, se identificarán y valorarán los servicios y procesos esenciales o críticos, teniendo en cuenta la normativa aplicable y el análisis de riesgos, con el fin de implantar las medidas organizativas y técnicas necesarias para garantizar la continuidad de las operaciones.

GMR Canarias establecerá planes de continuidad y recuperación que contemplen los principales escenarios de interrupción, incluyendo la recuperación de los sistemas, la restauración de la información y la reanudación de los servicios en los tiempos previstos.

Estos planes serán revisados y probados periódicamente para verificar su eficacia y asegurar la adecuada respuesta ante situaciones de interrupción o desastre.

19     Desarrollo del sgsi, revisión y auditorías

La Dirección de GMR Canarias ha aprobado el establecimiento, implantación, mantenimiento y mejora continua de un SGSI, alineado con estándares internacionales y con los requisitos del ENS.

El SGSI constituye el marco de gestión para la implantación, seguimiento y mejora de los controles de seguridad, permitiendo la gestión de los riesgos de seguridad de la información y la generación de evidencias del cumplimiento de los objetivos de seguridad.

En el marco del SGSI, GMR Canarias establecerá y revisará periódicamente objetivos de seguridad de la información alineados con la presente política y con los requisitos del ENS y de la norma ISO 27001:2022.

La documentación del sistema se gestionará conforme al procedimiento de gestión documental establecido, que regula su creación, aprobación, revisión, actualización, distribución y control de acceso.

Las medidas y controles de seguridad, organizativos, técnicos y operacionales, se recogerán en la Declaración de Aplicabilidad, siendo proporcionales a la criticidad de la información, la categorización de los sistemas y los resultados del análisis de riesgos.

La presente Política y la normativa asociada se revisarán al menos anualmente, o cuando se produzcan cambios relevantes en la organización, los sistemas de información, el marco normativo o el entorno tecnológico. El Comité de Seguridad revisará la Política y elevará, en su caso, las propuestas de modificación a la Dirección para su aprobación.

Asimismo, el SGSI estará sujeto a auditorías internas periódicas, conforme a un plan aprobado por el Comité de Seguridad, con el fin de verificar el cumplimiento de la política, la eficacia de los controles y la adecuación a los requisitos del ENS y de la normativa aplicable.

Los resultados de las auditorías y revisiones se integrarán en el proceso de mejora continua del SGSI, apoyado en el ciclo Plan-Do-Check-Act (PDCA), promoviendo la adopción de acciones correctivas y de mejora.

GMR Canarias gestionará las no conformidades detectadas en el SGSI mediante un proceso formal que incluirá la identificación, análisis de causas, adopción de acciones correctivas y seguimiento de su eficacia.

20     Aprobación de la política

La presente Política fue aprobada inicialmente el día 21 de octubre de 2020, revisada posteriormente en varias ocasiones por la Dirección de GMR, siendo la última revisión la realizada el 20 de abril de 2026. Esta Política será efectiva desde dicha fecha hasta su sustitución por una nueva versión.

Asimismo, es de obligado cumplimiento para todo el personal, así como para aquellas terceras partes que accedan, traten o gestionen información o sistemas de información de GMR Canarias en el marco de sus funciones o de la prestación de servicios

La Dirección asume el compromiso de apoyar la implantación, mantenimiento y mejora continua del SGSI, asegurando su adecuación, suficiencia y eficacia, además de proporcionar los recursos necesarios para el cumplimiento del ENS y de la norma ISO 27001:2022.

 

Política de Prevención de Riesgos Laborales

La Dirección de GMR Canarias declara su absoluto compromiso para asegurar los niveles de seguridad y salud e incrementar el bienestar de todos sus trabajadores en el desarrollo de sus funciones.

Atendiendo a esta declaración GMR CANARIAS asume la Política de Prevención de Riesgos Laborales (PRL) fundamentada en los siguientes principios:

1. La PRL y la mejora continua de las condiciones de seguridad y salud de los trabajadores son una prioridad en todas y cada una de las actividades que desarrolle la empresa, cuyo estricto cumplimiento condicionará la ejecución de cualquier tarea productiva, tarea que, en caso de duda, quedará en suspenso hasta que se garanticen las medidas de PRL necesarias.

2. Todo el personal de la empresa -operarios, mandos intermedios y personal directivo-, respecto a la PRL, asumirá su propia responsabilidad y la del personal a su cargo, y velará por el cumplimiento de la legislación, normas y procedimientos internos implantados para garantizarla.

3. Todo el personal de la empresa prestará especial atención para minimizar la exposición a accidentes laborales que, salvo incidentes fortuitos provocados por causas incontrolables, obedecen a situaciones predecibles, exceso de confianza y/o la inobservancia de los protocolos de actuación y, por tanto, son evitables.

4. El personal que debe desplazarse para el ejercicio de sus funciones -el más expuesto a incidentes causados por terceros- deberá tener especial atención a las condiciones de la conducción y planificar metódicamente las salidas con rutas realizables.

5. La formación continua, el acceso a la información y adiestramiento del personal son primordiales para trabajar con salud y seguridad, y por tanto, deben se ofertados por la empresa y exigidos por los trabajadores.

6. Es responsabilidad de todo el personal tratar de solucionar y comunicar cualquier deficiencia detectada que afecte al desarrollo de su trabajo que pueda ocasionar daños a las personas, a los medios de producción que utiliza o a las instalaciones, con el fin de que puedan ser corregidas lo antes posibles.

Fecha de aprobación: 20/04/2026

Historia

by

Año 1986

Mercocanarias S.A.U. fue constituida en 1986 al amparo de Mercosa, de las cooperativas Canarias, Cajas de Ahorro y Caja Rural con la idea de regular el mercado de productos hortofrutícolas y ganaderos, captando productos en las zonas productoras y, a través de su red de distribución, llevarlas a aquellos lugares donde se concentrara la demanda.

En esta primera etapa, su primer objetivo fue posicionarse en Tenerife y Gran Canaria, captando producción y clientes.

Contaba con un almacén y oficina central en el Polígono Costa Sur de Santa Cruz de Tenerife, un local ubicado en Mercatenerife y otro en Mercalaspalmas. Tenía una pequeña red de distribución con flota de vehículos propia, con la que se repartía a los clientes. La media anual de trabajadores era de 25 empleados.

Año 1991

En 1991 la Consejería de Agricultura del Gobierno de Canarias se hace cargo del 100% de su capital social con la finalidad de que sirviera como instrumento de su política agroalimentaria.

Se inicia una segunda etapa cuyos objetivos fueron el recoger la producción de las cooperativas de canarias y llevarla a los mercados mayoristas de Santa Cruz de Tenerife y Las Palmas de Gran Canaria, con la intención de obtener, con una oferta única, el mejor precio para los productos de los agricultores de las Islas, mantener la renta agraria y evitar el abandono del medio rural, incentivar la normalización de los productos y colaborar en la distribución de determinadas ayudas destinadas al sector primario.

También tuvo un papel importante para atender contingencias coyunturales de mercado con la regulación de los excedentes que se producían en distintas islas como el caso de la cebolla de Lanzarote, la papa en Tenerife y Gran Canaria, el tabaco y almendra de La Palma o los albaricoques en Gran Canaria.

Para poder captar productos de otras zonas y dar respuesta de comercialización, se amplió el número de sedes. Se abrió en Icod, La Gomera, La Palma, Lanzarote y Mogán, así como locales de recogida de frutas y hortalizas en Arafo y Guía, y de leche en San Bartolomé de Lanzarote.

Año 1993

La llegada a Canarias en 1993 de las grandes superficies hizo que cambiaran las políticas comerciales. Se introdujeron nuevas gamas de productos como los manipulados o transformados (embandejados, enmallados, etc.). La empresa pública se adapta y amplía sus locales y la manera de realizar su actividad.

En Mercalaspalmas se instala en la nueva nave multiusos y en Santa Cruz se amplía a la nave anexa en el Polígono Costa Sur, dedicándose fundamentalmente a la elaboración de estos nuevos productos, invirtiendo en maquinaria, para atender la demanda de estos nuevos clientes. El número de trabajadores se situaba en una media anual de 175.

Año 2003

En 2003 se diseña un cambio sustancial con el que se pretende la reorganización integral de la empresa. Sin perder de vista su objeto social, en cuanto a la maximización de las rentas agrarias de los agricultores y ganaderos de Canarias, se define el camino para seguir buscando, entre otros, la normalización de procesos de gestión, la eficiencia, la rentabilidad, el cumplimiento de nuevas normas como APPCC, protección de datos, prevención de riesgos laborales, la diversificación de la actividad y la adaptación a la Ley de Contratos de las Administraciones Públicas. Se obtiene la certificación de Calidad en ISO 9001/2000. Se dota de nuevas oficinas centrales, infraestructuras en los almacenes de las delegaciones comerciales, de comunicaciones, de nuevas aplicaciones informáticas, para dar respuesta a los nuevos retos planteados.

Año 2005

En 2005 se aprueba un nuevo plan estratégico para la empresa pública para su equilibrio financiero en el que se plantea como objetivos estratégicos la diversificación de la actividad que incluye el inicio de la prestación de servicios técnicos como medio propio, el cambio de denominación social y una nueva imagen corporativa.

En la actualidad, GMR Canarias cuenta con dos grandes áreas: servicios centrales y producción. Bajo la segunda nacen cuatro departamentos (comercial, fomento del sector primario, formación y proyectos) con una plantilla técnica altamente cualificada entorno a los 200 trabajadores.

¿QUÉ ES GMR CANARIAS?

by

Gestión del Medio Rural de Canarias, S.A.U. (GMR Canarias) es una sociedad mercantil pública adscrita a la Consejería de Agricultura, Ganadería, Pesca y Soberanía Alimentaria del Gobierno de Canarias y medio propio del Gobierno de Canarias.

Es medio instrumental y servicio técnico propio de la Administración Pública de la Comunidad Autónoma de Canarias, tal y como se reconoce en el Decreto 188/2001 del 15 de octubre, con el que se determina su finalidad de servir como instrumento para la ejecución de la política agropecuaria y pesquera del Gobierno de Canarias.

Misión

Impulsar el desarrollo rural como una empresa ágil y sostenible, comprometida con el bienestar de la comunidad canaria como punto de encuentro de intereses en el ámbito rural. Brindando servicios personalizados y especializados que contribuyen al progreso general de la sociedad.

Visión

Empresa profesional, con personal técnico altamente cualificado, innovadora y eficaz en la prestación de servicios especializados y soluciones de comercialización , enfocada a favorecer el crecimiento sostenible del sector primario en Canarias, en cooperación con el resto de los sectores.

Valores

  • Transparencia
  • Profesionalidad
  • Innovación
  • Trabajo en Equipo
  • Sostenibilidad
  • Calidad
  • Generador de conocimiento
  • Mejora constante y continua
  • Responsabilidad y. compromiso
  • Excelencia
  • Cercanía y confianza
  •  Arraigo del territorio
  • Vocación de servicios
    públicos