1. Introducción

 

La presente Política de Seguridad de los Sistemas de Información, que establece los principios y directrices con los que el Grupo Renfe (en adelante, también “la Organización”) protegerá su información, de conformidad con la normativa que resulte de aplicación, así como con lo previsto en la normativa interna del Grupo Renfe aplicable en materia de Seguridad de la Información.

La organización velará por la protección de la información, independientemente de la forma en la que esta se comunique, comparta, proyecte o almacene.
Esta protección afecta tanto a la información existente dentro del Grupo como a la información compartida con terceros.

En este sentido, se entiende por Seguridad de la Información, la salvaguarda y protección de la información titularidad del Grupo, con independencia de que se encuentre en sistemas propios o de terceros, y la información titularidad de terceros, que se encuentre en sistemas del Grupo.

A los efectos de la presente Política, se entiende por Sistemas de Información el conjunto de tecnologías o medios tecnológicos, propios o de terceros que gestionen, almacenen o transmitan Información (incluyendo tecnologías en la nube o similares).
 

2. Ámbito de aplicación

 

La presente Política se aplicará al Grupo Renfe, y vinculará a todo el personal de la Organización, independientemente de la posición o cargo que ocupe.

A estos efectos, se entiende por Grupo Renfe:

  • Renfe Operadora.
  • Renfe Viajeros.
  • Renfe Mercancías.
  • Renfe Fabricación y Mantenimiento.
  • Renfe Alquiler de Material Ferroviario.
  • Renfe Proyectos Internacionales
  • Logirail (filial)

La aplicación de la Política podrá hacerse extensiva, total o parcialmente, a cualquier otra persona física y/o jurídica vinculada con el Grupo, como son los proveedores del Grupo Renfe, el personal colaborador, etc.

De conformidad con la Política, el Grupo Renfe desarrolla los procedimientos, normas, instrucciones técnicas, guías de seguridad, para implementar y dar cumplimiento a las obligaciones asumidas, así como para adaptar la misma a la legislación aplicable al Grupo.

La aplicación de esta Política es complementaria al cuerpo normativo de seguridad de obligado cumplimiento, así como a las normas en materia de protección de datos personales y privacidad, y aquellos procesos que regulan las cuestiones relacionadas con la información de la Compañía.
 

3. Objetivo

 

La presente Política, constituye el marco de referencia mediante el que el Grupo Renfe define las directrices, desarrolladas en la Política de Seguridad de los Sistemas de Información Interna, de protección eficaz de la Información gestionada por el Grupo y tiene los siguientes objetivos:

  • Garantizar el grado de confidencialidad necesario a cada clase de Información, de conformidad con la clasificación establecida en el Procedimiento de Clasificación de la Información.
  • Mantener la integridad de la información, de modo que no sufra alteraciones con respecto al momento en que haya sido generada por los propietarios o responsables de la misma.
  • Asegurar la disponibilidad de la Información, en todos los soportes y siempre que sea necesaria, asegurando la continuidad del negocio y el cumplimiento de cuantas obligaciones sean exigibles a la Compañía.
  • Garantizar la Autenticidad de la Información, dotando a los sistemas de medios tecnológicos con capacidades para verificar la identidad de las acciones.
  • Controlar la Trazabilidad de las acciones realizadas resulta fundamental, no solo para monitorizar los sistemas de Grupo Renfe y poder actuar frente a un hipotético incidente de seguridad, sino para cubrir con los requerimientos legales marcados por la legislación vigente.  

4. Principios generales

 

La consecución de los objetivos descritos en el apartado 3 se articula a través de los siguientes principios generales:

  • Clasificación de la Información. La Información se clasificará en función a su valor, importancia y criticidad para el negocio, de forma que las medidas de protección se adecúen al nivel de clasificación de cada activo de información. Del mismo modo, la clasificación de los activos de Información se realizará tomando en consideración los requisitos legales, operacionales y las buenas prácticas y estándares al respecto, así como la normativa interna del Grupo Renfe.
  • Uso de los Sistemas de Información. El uso de los Sistemas estará limitado a fines lícitos y exclusivamente profesionales, para la realización de tareas relacionadas con el puesto de trabajo. En consecuencia, estos medios y sistemas no están destinados para uso personal ni podrán utilizarse para ninguna finalidad ilícita, tal y como se indica en la normativa interna del Grupo Renfe.
  • Segregación de funciones. Se deberán evitar las concentraciones de riesgos derivados de la ausencia de segregación de funciones y la dependencia unipersonal de funciones críticas para el negocio.

En este sentido, el Grupo Renfe dispone de procedimientos para controlar la asignación de privilegios a los Sistemas de Información, de forma que los usuarios tengan acceso únicamente a los recursos e información necesarios para el desempeño de sus funciones.

  • Retención de la Información. Se establecerán, cuando resulte necesario o conveniente, períodos de retención de la Información por categorías atendiendo a las necesidades operativas o de cumplimiento regulatorio, así como los correspondientes procedimientos de destrucción de la Información.
  • Acceso a la Información por parte de terceros. El Grupo Renfe dispone de procedimientos de control de la puesta a disposición y acceso por terceros a la Información relativa a la organización, o de cualesquiera otros terceros relacionados con el Grupo.
  • Seguridad de la Información en los Sistemas. Los entornos de desarrollo y producción se mantendrán en Sistemas independientes. Igualmente, el desarrollo y mantenimiento de los Sistemas de Información debe incluir los controles y registros necesarios para garantizar la correcta implementación de las especificaciones de seguridad.
  • Cumplimiento. Los Sistemas de Información y comunicaciones del Grupo deberán estar adecuados de forma permanente a las exigencias de la legislación vigente en todas las jurisdicciones en las que opera, así como a la normativa interna de desarrollo que resulte de aplicación.
     

5. Responsabilidades

 

La responsabilidad de la protección de la Información y de los Sistemas que la tratan, almacenan o transmiten se extiende a todos los niveles organizativos y funcionales del Grupo Renfe, cada uno en la medida que le corresponda, como se detalla a continuación:

5.1. Responsabilidades de los empleados

  • Todos los empleados del Grupo deberán conocer, asumir y cumplir la Política, así como la normativa interna de seguridad y uso de los Sistemas vigentes, estando obligados a mantener el secreto profesional y la confidencialidad de la Información manejada en su entorno laboral y debiendo comunicar, con carácter de urgencia y según los procedimientos establecidos, las posibles incidencias o problemas de seguridad que se detecten.
  • Los empleados que contraten servicios de terceros que impliquen el uso o acceso de estos últimos a la Información deberán entender los riesgos derivados del proceso de externalización y asegurar una gestión eficaz de los mismos, informando a la Gerencia de Área de Ciberseguridad y Privacidad para la realización del correspondiente análisis del riesgo, y en su caso, la inclusión de los requerimientos de ciberseguridad y privacidad.
  • El uso de los Sistemas o servicios digitales por parte de los empleados, incluyendo expresamente el correo electrónico y los servicios de mensajería instantánea, estará limitado a fines lícitos y exclusivamente profesionales, para la realización de tareas relacionadas con el puesto de trabajo. En consecuencia, estos medios y sistemas no están destinados para uso personal ni podrán utilizarse para ninguna finalidad ilícita.
     

5.2. Responsabilidades en relación con proveedores y partes interesadas

  • De forma complementaria al apartado 5.1, los contratos con terceros que impliquen el uso o acceso de estos últimos a la Información, entre los que se encuentran los de prestación de servicios o contratos de externalización, incluirán requerimientos específicos de ciberseguridad y privacidad relativos a la tecnología y las actividades de aquellos que llevan a cabo dichos servicios.
  • En este sentido, deberán incluir requerimientos mediante las que se garantice que los proveedores, el personal subcontratado o cualquier empresa externa que utilice o acceda, de manera potencial o real, a la Información (a través de los Sistemas o de cualquier otro medio, como se expone en el apartado 1), deberán conocer y cumplir la Política en lo que les sea de aplicación, estando obligados a mantener el secreto profesional y la confidencialidad de la Información manejada en su relación con el Grupo.
     

5.3. Gerencia de Área de Ciberseguridad y Privacidad

La Gerencia de Área de Ciberseguridad y Privacidad, cuyo responsable es el responsable de Seguridad de los Sistemas de Información del Grupo, ejercitará su función de control de manera independiente y es su responsabilidad implementar esta Política y monitorizar su cumplimiento, así como el de todos los requerimientos derivados de las leyes, normas y buenas prácticas en materia de seguridad de la Información que sean de aplicación.

Las funciones del responsable de Seguridad de los Sistemas de Información se encuentran detalladas en la Política de Seguridad de los Sistemas de información interna del Grupo Renfe, disponible en la intranet del Grupo.
 

5.4. Comité de Seguridad de la Información

El Grupo Renfe cuenta con un Comité de Seguridad de la Información (CSTIC) integrado por miembros de la Dirección y por los representantes de las Sociedades del Grupo Renfe en los que los directores generales o el comité de dirección del Grupo delegan la función de Seguridad de la Información, cuyo objetivo es asegurar que las buenas prácticas sobre la gestión de la seguridad se apliquen de manera efectiva y consistente en todo el Grupo.
 

6. Implementación

 

El Grupo Renfe se compromete a asignar recursos específicos para asegurar la implementación efectiva de la Política.

7. Control y auditoría

 

El Grupo Renfe se reserva expresamente el derecho de adoptar, con proporcionalidad, las medidas de vigilancia y control necesarias para comprobar la correcta utilización de los Sistemas que pone a disposición de sus empleados, incluyendo el contenido de las comunicaciones y dispositivos, respetando, en todo caso, la legislación vigente y garantizado la dignidad del empleado. La comunicación y aceptación de esta Política surtirá los efectos de notificación previa al trabajador.

El Grupo se someterá a revisiones y controles periódicos, así como auditorías internas y externas para evaluar el cumplimiento general de la Política de Seguridad de los Sistemas de Información.

La valoración de un posible incumplimiento de esta Política se determinará en el procedimiento correspondiente, según las disposiciones vigentes, sin perjuicio de las responsabilidades legales, incluso de carácter sancionador en el ámbito laboral, que, en su caso, puedan resultar exigibles al incumplidor.
 

8.  Comunicación de la Política

 

La presente Política estará disponible en la página web de Renfe, www.renfe.com, para todos los empleados y partes interesadas.

Asimismo, la Política de Seguridad de los Sistemas de Información se encuentra disponible en la intranet del Grupo Renfe, accesible por todos los empleados y colaboradores del Grupo y será objeto de las adecuadas acciones de comunicación, formación y sensibilización para su oportuna comprensión y puesta en práctica.

9.  Actualización y revisión de la Política

 

La Política será revisada y actualizada cuando proceda, con el fin de adaptarla a los cambios que puedan surgir en el modelo de negocio o en el contexto donde opere el Grupo, garantizando en todo momento su efectiva implantación.