902 92 99 26
Aula virtual
Acceder a gescloud

Política de Seguridad de la Información

Versión 1.0 Clasificación Pública

Referencia Org 1. Política de Seguridad de la Información

1. Aprobación y entrada en vigor

Texto aprobado el día 30 de mayo de 2024 por la Administradora de GESPRODAT S.L. Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

2. Introducción

GESPRODAT S.L depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, autenticidad, trazabilidad o confidencialidad de la información tratada o los servicios prestados. El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con celeridad a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la disponibilidad, integridad, autenticidad, trazabilidad, confidencialidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.

3. Alcance

El Alcance General de los sistemas de información asociados a los procesos de negocio que están sujetos a certificación del ENS es el siguiente:

Sistemas de información que dan soporte a los servicios de consultoría de seguridad de la información (ISO 27001, ISO 22301, Esquema Nacional de Seguridad, Directiva NIS, Plan Director de Seguridad, ciberseguridad), privacidad (RGPD, LOPDGDD, ISO 27701, Delegado de Protección de Datos), cumplimiento normativo (Compliance, Secretos Empresariales, Sistema Interno de Información, Desconexión Digital, ISO 9001, ISO 14001) y de formación (online, offline), en relación al documento de Declaración de Aplicabilidad con fecha 11/12/2023 y versión 1.0.

La categoría objetivo de referencia que se determina para los sistemas de información descritos en este Alcance General es: NIVEL MEDIO.

4. Marco normativo

GESPRODAT S.L está sujeto, a título enunciativo y no limitativo, a las siguientes normativas y regulaciones:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Real Decreto Legislativo 1/1996 (Ley de Propiedad Intelectual).
  • Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

5. Datos de carácter personal

GESPRODAT S.L trata datos de carácter personal. Los procedimientos de protección de datos, a los que tendrán acceso sólo las personas autorizadas, recoge los tratamientos afectados y los responsables correspondientes. Todos los sistemas de información de GESPRODAT S.L se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en los mencionados procedimientos.

6. Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • regularmente, al menos una vez al año,
  • cuando cambie la información manejada,
  • cuando cambien los servicios prestados,
  • cuando ocurra un incidente grave de seguridad,
  • cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

7. Desarrollo de la política de seguridad de la información

Esta Política de Seguridad de la Información complementa las políticas de seguridad de GESPRODAT S.L en diferentes materias:

  • Procedimientos de seguridad informática internos.
  • Procedimientos operativos internos con incidencia en la seguridad de la información.


Procedimientos operativos internos con incidencia en la seguridad de la información. Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones. La normativa de seguridad estará disponible electrónicamente en el portal ENS de GESPRODAT S.L.

8. Obligaciones del personal

Todos los miembros de GESPRODAT S.L tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados. Todos los miembros de GESPRODAT S.L atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de GESPRODAT S.L, en particular a los de nueva incorporación. Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

9. Terceras partes

Cuando GESPRODAT S.L preste servicios a organismos de naturaleza pública o maneje información de organismos de naturaleza pública, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad. Cuando GESPRODAT S.L subcontrate servicios con terceros o ceda información a terceros, en el marco de una prestación de servicios a organismos de naturaleza pública, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.

Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política. Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

10. Resolución de conflictos

En caso de conflicto entre los diferentes responsables de información o de servicio que componen la estructura organizativa de la Política de Seguridad de la Información, éste será resuelto por el superior jerárquico de los mismos, pudiendo participar en la resolución y mediación el Responsable de Seguridad de la Información. En caso de no llegar a un acuerdo, se elevará para su resolución en última instancia al Comité de Seguridad de la Información.

Grupo 40
Empresa especializada en Privacidad y Seguridad de la Información.
SÍGUENOS
Facebook Twitter Linkedin
GESPRODAT
INFORMACIÓN
Política de privacidad

Política de Cookies

Condiciones de uso

Condiciones de contratación

Política de Seguridad
PACTO DIGITAL
Gesprodat está adherida al Pacto Digital para la Protección de las Personas