ES EN CAT GL

Politica de Seguretat

1. APROVACIÓ I ENTRADA EN VIGOR

La present Política de seguretat de la informació ha estat elaborada i aprovada pel Comitè de Seguretat d'ASIGNO SERVICIOS INTEGRALES DE RECUPERACIÓN DE CRÉDITO, S.L., d'ara endavant ASIGNO, i serà efectiva i d'aplicació des de la data de la seva publicació a través de la Intranet de l'organització i la consegüent comunicació als usuaris.

2. INTRODUCCIÓ

ASIGNO ha desenvolupat la present Política de seguretat per definir els principis i les bases necessàries per a una gestió adequada de la seguretat de la informació tractada per l'entitat, així com per donar compliment als requisits de la norma de referència ISO 27001.

ASIGNO, per al desenvolupament de les seves activitats, depèn dels sistemes TIC (Tecnologies de la Informació i Comunicacions) per assolir els seus objectius. Aquests sistemes han de ser administrats amb diligència, prenent les mesures adequades per protegir-los davant danys accidentals o deliberats que puguin afectar la disponibilitat, integritat o confidencialitat de la informació tractada o dels serveis prestats.

L'objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels serveis, actuant de manera preventiva, supervisant l'activitat diària i reaccionant amb rapidesa davant els incidents.

Els sistemes TIC han d'estar protegits contra amenaces d'evolució ràpida amb potencial per incidir en la confidencialitat, integritat, disponibilitat, ús previst i valor de la informació i els serveis. Per defensar-se d'aquestes amenaces, es requereix una estratègia que s'adapti als canvis en les condicions de l'entorn per garantir la prestació contínua dels serveis. Això implica que els departaments han d'aplicar les mesures mínimes de seguretat exigides per la norma de referència, així com realitzar un seguiment continu dels nivells de prestació de serveis, seguir i analitzar les vulnerabilitats reportades i preparar una resposta efectiva als incidents per garantir la continuïtat dels serveis prestats.

Els diferents departaments han de garantir que la seguretat TIC és una part integral de cada etapa del cicle de vida del sistema, des de la seva concepció fins a la seva retirada de servei, passant per les decisions de desenvolupament o adquisició i les activitats d'explotació. Els requisits de seguretat i les necessitats de finançament han de ser identificats i inclosos en la planificació i el desenvolupament dels diferents projectes interns o externs de l'organització.

2.1. Presentació de l'empresa

ASIGNO és una firma espanyola, nascuda el 1982 i orientada a l'assessorament empresarial. La nostra inquietud per aportar una solució jurídic-econòmica al teixit industrial empresarial ens ha portat a evolucionar i ampliar els nostres serveis en tots els camps del Dret de l'Empresa, conformant així un Grup que pretén cobrir totes les necessitats del món dels negocis, en temes concursals, recuperació de deute, assessorament financer, així com una assessoria fiscal, laboral i comptable, sense perdre el focus que ens va moure des dels inicis com a experts en reestructuració empresarial.

ASIGNO està actualment composta per més de 300 advocats i economistes, oferint un servei integrat jurídic-econòmic a nivell nacional i internacional, a través de les seves sis seus a Madrid, Barcelona, Oviedo, Valladolid, Vigo i Sevilla, que ens garanteixen un accés i acompanyament proper als interessos dels nostres clients.

Coneixement de primera línia dels sectors econòmics en què actuen. Sabem que la creació d'oportunitats per als nostres clients sorgeix de considerar perspectives molt difícils de tenir sense les destreses que deriven d'una experiència sectorial dilatada.

Alta especialització en diferents àrees jurídiques. És una condició necessària però no suficient per formar part de la nostra organització.

Estem organitzats en equips multidisciplinaris, amb l'objectiu d'oferir les visions i solucions més enriquidores, amb el major valor afegit per als nostres clients.

La nostra interlocució és àgil i directa. La nostra estructura és molt plana. La implicació dels socis i associats d'alt nivell és el més habitual. Això és molt valorat pels nostres clients.

Com a part d'ASIGNO, comptem també amb la societat TAX MASTER GESTIÓN, una assessoria fiscal, laboral i comptable que ajuda les empreses al compliment de les seves obligacions recurrents en matèria de liquidació i presentació d'impostos, gestió i administració de personal, portament de la comptabilitat i tots els assumptes relacionats amb l'optimització d'aquestes matèries.

La seva actuació es dona en una gran varietat d'àmbits: treballant per a tots els sectors d'activitat, empreses familiars, fundacions, particulars amb grans patrimonis i institucions de diferents característiques.

2.2. Valors de l'organització

Coneixement

Coneixement financer i jurídic de primera línia dels sectors econòmics en què actuem, que es tradueix en la creació de noves oportunitats per als nostres clients.

Experiència

La nostra activitat es desenvolupa en tots els camps del dret de l'empresa des de fa més de 35 anys, actuant en tot l'àmbit nacional i internacional.

Valors

Compromís amb els resultats, honestedat i fermesa en l'execució de les alternatives, creativitat en la generació de solucions, proactivitat en els processos més delicats, acompanyem en els objectius del client fent junts tot el camí.

3. ABAST

Aquesta Política s'aplicarà als sistemes d'informació d'ASIGNO que donen suport als serveis prestats des de la pròpia organització.

En particular, ASIGNO ha decidit la certificació de la gestió de la seguretat de la informació segons la norma ISO 27001 per al següent abast:

ISO 27001:

"Sistema de Gestió de Seguretat de la Informació que dona suport a tots els Sistemes d'Informació i personal d'ASIGNO SERVICIOS INTEGRALES DE RECUPERACIÓN DE CRÉDITO, S.L. relacionats amb els serveis prestats per les diferents societats, en l'àmbit financer, legal, tributari i concursal, i amb els serveis cloud associats a aquests serveis".

4. MARC NORMATIU

Per al desenvolupament d'aquesta Política de seguretat i del sistema de gestió associat, s'han tingut en consideració:

Norma UNE-EN ISO/IEC 27001:2023 Seguretat de la informació, ciberseguretat i protecció de la privacitat. Sistemes de gestió de la seguretat de la informació. Requisits.

Norma UNE-EN ISO/IEC 27002:2023 Seguretat de la informació, ciberseguretat i protecció de la privacitat. Controls de la seguretat de la informació.

Reial decret 311/2022, de 8 de gener (BOE de 29 de gener), pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'administració electrònica.

Addicionalment, es tenen en consideració totes aquelles normatives o estàndards relacionats amb la seguretat de la informació que puguin ser d'aplicació o rellevants per a l'organització, i que s'identifiquen a través del Procediment de compliment legal i el registre associat al mateix. Entre aquestes normes de referència es poden considerar, entre d'altres:

Norma ISO 27017:2021 Controls de seguretat per a serveis en el núvol.

Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d'abril de 2016 (RGPD).

Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.

El manteniment del marc normatiu serà responsabilitat d'ASIGNO, i es mantindrà com a annex al Procediment de compliment legal.

5. COMPLIMENT DELS REQUISITS MÍNIMS DE SEGURETAT

ASIGNO, per aconseguir el compliment dels requisits de les citades normes i normatives de seguretat, ha implementat diversos processos i mesures de seguretat proporcionals a la naturalesa de la informació i als serveis a protegir.

5.1. La seguretat com un procés integral i mínim privilegi

La seguretat s'entén com un procés integral constituït per tots els elements tècnics, humans, materials, jurídics i organitzatius relacionats amb el sistema. La gestió de la seguretat de la informació a ASIGNO estarà presidida per aquest principi, que exclou qualsevol actuació puntual o tractament conjuntural.

Es prestarà la màxima atenció a la conscienciació de les persones que intervenen en el procés i als seus responsables jeràrquics, per evitar que la ignorància, la manca d'organització i coordinació o unes instruccions inadequades constitueixin fonts de risc per a la seguretat.

Els sistemes d'informació s'han de dissenyar i configurar atorgant els mínims privilegis necessaris per al seu correcte desenvolupament, cosa que implica incorporar els aspectes següents:

  • El sistema proporcionarà la funcionalitat imprescindible perquè l'organització assoleixi els seus objectius competencials o contractuals.
  • Les funcions d'operació, administració i registre d'activitat seran les mínimes necessàries i s'assegurarà que només són desenvolupades per les persones autoritzades, des d'emplaçaments o equips igualment autoritzats; es podran exigir, si escau, restriccions d'horari i punts d'accés facultats.
  • En un sistema d'explotació s'eliminaran o desactivaran, mitjançant el control de la configuració, les funcions que siguin innecessàries o inadequades a la finalitat que es persegueix. L'ús ordinari del sistema ha de ser senzill i segur, de manera que una utilització insegura requereixi un acte conscient per part de l'usuari.
  • S'aplicaran guies de configuració de seguretat per a les diferents tecnologies, adaptades a l'organització, a l'efecte d'eliminar o desactivar les funcions que siguin innecessàries o inadequades.

5.2. Vigilància contínua, reavaluació periòdica i integritat, actualització del sistema i millora contínua del procés de seguretat

La vigilància contínua per part d'ASIGNO permetrà la detecció d'activitats o comportaments anòmals i la seva oportuna resposta.

L'avaluació permanent de l'estat de la seguretat dels actius permetrà mesurar-ne l'evolució, detectant vulnerabilitats i identificant deficiències de configuració.

Les mesures de seguretat es reavaluaran i actualitzaran periòdicament, adequant-ne l'eficàcia a l'evolució dels riscos i dels sistemes de protecció, i es podrà arribar, si és necessari, a un replantejament de la seguretat.

La inclusió de qualsevol element físic o lògic en el catàleg actualitzat d'actius del sistema, o la seva modificació, requerirà autorització formal prèvia.

L'avaluació i monitoratge permanents permetran adequar l'estat de seguretat dels sistemes atenent a les deficiències de configuració, les vulnerabilitats identificades i les actualitzacions que els afectin, així com la detecció primerenca de qualsevol incident que tingui lloc.

El procés integral de seguretat implantat haurà de ser actualitzat i millorat de forma contínua. Per a això, s'aplicaran els criteris i mètodes reconeguts en la pràctica nacional i internacional relatius a la gestió de la seguretat de les tecnologies de la informació.

5.3. Gestió de personal i professionalitat

Tota la plantilla, pròpia o aliena, relacionada amb els sistemes d'informació d'ASIGNO, dins de l'àmbit del Sistema de Gestió de Seguretat de la Informació (SGSI), serà formada i informada dels seus deures, obligacions i responsabilitats en matèria de seguretat. La seva actuació serà supervisada per verificar que se segueixen els procediments establerts.

S'elaboraran normes d'ús acceptable relacionades amb els actius corporatius, el correu electrònic, els suports, etc., que seran aprovades pel Comitè de Seguretat. De la mateixa manera, es determinaran els requisits necessaris de formació i experiència del personal per al desenvolupament del seu lloc de treball.

La seguretat dels sistemes d'informació serà atesa i revisada i auditada per personal qualificat, dedicat i instruït en totes les fases del seu cicle de vida: planificació, disseny, adquisició, construcció, desplegament, explotació, manteniment, gestió d'incidències i desmantellament.

De manera objectiva i no discriminatòria, s'exigirà que les organitzacions que ens proporcionen serveis comptin amb professionals qualificats i amb uns nivells idonis de gestió i maduresa dels serveis prestats.

5.4. Gestió de la seguretat basada en els riscos, anàlisi i gestió de riscos

L'anàlisi i la gestió dels riscos seran una part essencial del procés de seguretat i serà una activitat contínua i permanentment actualitzada.

La gestió dels riscos permetrà el manteniment d'un entorn controlat, minimitzant els riscos a nivells acceptables. La reducció a aquests nivells es realitzarà mitjançant una aplicació apropiada de mesures de seguretat, de manera equilibrada i proporcionada a la naturalesa de la informació tractada, dels serveis a prestar i dels riscos als quals estiguin exposats.

Aquesta gestió es realitzarà mitjançant l'anàlisi i el tractament dels riscos als quals està exposat el sistema, utilitzant una metodologia reconeguda. Les mesures adoptades per mitigar o suprimir els riscos hauran d'estar justificades i, en tot cas, hi haurà una proporcionalitat entre aquestes i els riscos.

5.5. Incidents de seguretat, prevenció, detecció, reacció i recuperació

ASIGNO disposa de procediments de gestió d'incidents de seguretat d'acord amb els requisits de la norma ISO 27001 i dels requisits derivats de les normatives d'aplicació (per exemple, normativa de protecció de dades), i de mecanismes de detecció, criteris de classificació, procediments d'anàlisi i resolució, així com dels canals de comunicació a les parts interessades.

La seguretat del sistema contemplarà les accions relatives als aspectes de prevenció, detecció i resposta, amb l'objecte de minimitzar les seves vulnerabilitats i aconseguir que les amenaces sobre el mateix no es materialitzin o que, en cas de fer-ho, no afectin greument la informació que gestiona o els serveis que presta.

Les mesures de prevenció podran incorporar components orientats a la dissuasió o a la reducció de la superfície d'exposició i han d'eliminar o reduir la possibilitat que les amenaces arribin a materialitzar-se.

Les mesures de detecció aniran dirigides a descobrir la presència d'un ciberincident.

Les mesures de resposta es gestionaran en temps oportú i estaran orientades a la restauració de la informació i dels serveis que s'hagin pogut veure afectats per un incident de seguretat.

El sistema d'informació garantirà la conservació de les dades i la informació en suport electrònic.

De la mateixa manera, el sistema mantindrà disponibles els serveis durant tot el cicle de vida de la informació digital, a través d'una concepció i procediments que siguin la base per a la preservació del patrimoni digital.

5.6. Existència de línies de defensa i prevenció davant altres sistemes d'informació interconnectats

ASIGNO ha implementat una estratègia de protecció del sistema d'informació constituïda per múltiples capes de seguretat, formades per mesures organitzatives, físiques i lògiques, de tal manera que, quan una capa hagi estat compromesa, permeti desenvolupar una reacció adequada davant els incidents que no s'han pogut evitar, reduint la probabilitat que el sistema sigui compromès en el seu conjunt i minimitzant-ne l'impacte final.

Es protegirà el perímetre del sistema d'informació, especialment quan el sistema de l'organització es connecti a xarxes públiques, reforçant les tasques de prevenció, detecció i resposta a incidents de seguretat.

En tot cas, s'analitzaran els riscos derivats de la interconnexió del sistema amb altres sistemes i se'n controlarà el punt d'unió.

5.7. Diferenciació de responsabilitats, organització i implantació del procés de seguretat

ASIGNO ha organitzat la seva seguretat comprometent els membres corresponents de l'organització mitjançant la designació de diferents rols de seguretat amb responsabilitats clarament diferenciades, tal com es recull a l'apartat "Organització de la seguretat" del present document.

5.8. Autorització i control dels accessos

ASIGNO ha implementat mecanismes de control d'accés al sistema d'informació, limitant-lo als usuaris, processos, dispositius i altres sistemes d'informació degudament autoritzats, i exclusivament a les funcions permeses.

5.9. Protecció de les instal·lacions

ASIGNO ha implementat mecanismes de control d'accés físic, prevenint els accessos físics no autoritzats, així com els danys a la informació i als recursos, mitjançant perímetres de seguretat, controls físics i proteccions generals a les àrees.

5.10. Adquisició de productes de seguretat i contractació de serveis de seguretat

Per a l'adquisició de productes o la contractació de serveis de seguretat, ASIGNO, sempre que sigui possible, tindrà en compte proveïdors que disposin de certificacions en estàndards de seguretat reconeguts, com ISO 27001, ISO 27017, ISO 27018, ISO 22301 i similars.

5.11. Protecció de la informació emmagatzemada i en trànsit i continuïtat de l'activitat

ASIGNO prestarà especial atenció a la informació emmagatzemada o en trànsit a través dels equips o dispositius portàtils o mòbils, els dispositius perifèrics, els suports d'informació i les comunicacions sobre xarxes obertes, que hauran d'analitzar-se especialment per aconseguir una protecció adequada.

Els sistemes disposaran de còpies de seguretat i s'establiran els mecanismes necessaris per garantir la continuïtat de les operacions en cas de pèrdua dels mitjans habituals.

5.12. Registre d'activitat i detecció de codi nociu

ASIGNO, amb el propòsit de satisfer la normativa d'aplicació, amb plenes garanties del dret a l'honor, a la intimitat personal i familiar i a la pròpia imatge dels afectats, i d'acord amb la normativa sobre protecció de dades personals, registrarà les activitats dels usuaris, retenint la informació estrictament necessària per monitorar, analitzar, investigar i documentar activitats indegudes o no autoritzades, identificant en cada moment la persona que actua.

A fi de preservar la seguretat dels sistemes d'informació i de conformitat amb el que disposa el Reglament general de protecció de dades i amb el respecte als principis de limitació de la finalitat, minimització de les dades i limitació del termini de conservació que s'hi enuncien, ASIGNO podrà, en la mesura estrictament necessària i proporcionada, analitzar les comunicacions entrants o sortints, i únicament amb finalitats de seguretat de la informació, de manera que sigui possible impedir l'accés no autoritzat a les xarxes i sistemes d'informació, aturar els atacs de denegació de servei, evitar la distribució malintencionada de codi nociu, així com altres danys a les esmentades xarxes i sistemes d'informació.

Per corregir o, si escau, exigir responsabilitats, cada usuari que accedeixi al sistema d'informació haurà d'estar identificat de forma única, de manera que es sàpiga, en tot moment, qui rep drets d'accés, de quin tipus són aquests i qui ha realitzat una determinada activitat.

6. ORGANITZACIÓ DE LA SEGURETAT

6.1. Rols i responsabilitats de Seguretat de la Informació

Per garantir el compliment i l'adaptació de les mesures exigides pel Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat, s'han creat rols o perfils de seguretat que formaran part del Comitè de Seguretat, i s'han designat els càrrecs o òrgans que els ocuparan, de la manera següent:

  • Responsable d'Informació i Serveis: Responsable de serveis centrals.
  • Responsable de Seguretat de la Informació de l'ENS: Director de TI.
  • Responsable del Sistema de l'ENS: Responsable de Desenvolupament.

La resta de rols i perfils relacionats amb la seguretat de la informació, i les responsabilitats de cadascun d'ells, es definiran a través del Manual de Gestió del SGSI d'ASIGNO.

A continuació, es detallen i s'estableixen les funcions i responsabilitats de cadascun dels rols definits, sobre les quals es donarà el corresponent trasllat a les persones designades mitjançant un procés formal que requerirà l'acceptació, per part seva, d'aquestes responsabilitats.

Funcions del Responsable de la Informació i dels Serveis:

  • Establir i aprovar els requisits de seguretat aplicables al servei i a la informació dins del marc establert a l'annex I del Reial decret 311/2022, de 3 de maig, i RGPD, podent demanar una proposta al Responsable de Seguretat ENS i tenint en compte l'opinió del Responsable del Sistema ENS i del/de la Delegat/ada de Protecció de Dades.
  • Informar sobre els drets d'accés al Servei i a la Informació.
  • Acceptar els nivells de risc residual que afecten el Servei i la Informació.
  • Posar en coneixement del Responsable de la Seguretat i del/de la Delegat/ada de Protecció de Dades qualsevol variació respecte a la Informació i els Serveis dels quals és responsable, especialment la incorporació de nous Serveis o Informació al seu càrrec.
  • Vetllar per l'adequada realització de les seves funcions, dins del marc de seguretat adequat, ajudant a difondre el coneixement i la cultura de seguretat i protecció de dades necessàries per al correcte tractament de les dades i la informació.
  • Col·laborar en la definició i aprovació de les activitats de tractament de dades personals pròpies de la seva àrea de responsabilitat.
  • Determinar els requisits (de seguretat) de la informació tractada i dels serveis prestats.
  • Rebre informació sobre els incidents i de les actuacions realitzades per a la seva resolució.
  • Efectuar les valoracions a què es refereix l'article 40 de l'ENS (categories de seguretat), així com, si escau, la seva posterior modificació.
  • Determinar els criteris per assignar i modificar a cada informació el nivell de seguretat requerit, i ser responsable de la seva documentació i aprovació formal.

Funcions del Responsable de la Seguretat ENS:

  • Mantenir i verificar el nivell adequat de seguretat de la Informació gestionada i dels serveis electrònics prestats pels sistemes d'informació.
  • Determinar les decisions per satisfer els requisits de seguretat de la informació i dels serveis.
  • Determinar les mesures de seguretat aplicables, en funció de les valoracions fetes pels Responsables de la Informació i els Serveis.
  • Supervisar la implantació de les mesures necessàries per garantir que es compleixen els requisits i informar sobre aquestes qüestions.
  • Formalitzar i aprovar les mesures seleccionades a la Declaració d'Aplicabilitat, incloent-hi les mesures compensatòries o complementàries de vigilància i la seva correspondència amb les mesures de l'annex II del Reial decret esmentat.
  • Comprovar que les mesures de seguretat de la informació han estat adequadament implementades pel Responsable del Sistema.
  • Determinar la categoria de seguretat del sistema, sobre la base de les valoracions dels Responsables de la Informació i del Servei.
  • Promoure la formació i la conscienciació en matèria de seguretat de la informació dins del seu àmbit de responsabilitat.
  • Promoure la realització de l'anàlisi de riscos.
  • Designar responsables de l'execució de l'anàlisi de riscos, de la declaració d'aplicabilitat, identificar mesures de seguretat, determinar configuracions necessàries, elaborar documentació del sistema.
  • Proporcionar assessorament per a la determinació de la categoria del sistema, en col·laboració amb el Responsable del Sistema i/o el Comitè de Seguretat de la Informació.
  • Participar en l'elaboració i implantació dels plans de millora de la seguretat i, si escau, en els plans de continuïtat, procedint a la seva validació.
  • Gestionar les revisions externes o internes del sistema.
  • Gestionar els processos de certificació.
  • Analitzar els informes d'auditoria de primera, segona o tercera part que es refereixin als sistemes del seu àmbit competencial, i presentar-ne les conclusions al Responsable del Sistema i, si escau, al Comitè de Seguretat de la Informació.
  • Elevar al Comitè de Seguretat l'aprovació de canvis i altres requisits del sistema.
  • Aprovar de manera explícita els canvis que impliquin un risc de nivell ALT amb caràcter previ a la seva implantació.
  • Analitzar els riscos abans del desplegament dels sistemes d'intel·ligència artificial a l'entitat, atenent a les valoracions del Responsable de la Informació i del Servei i, si escau, del/de la Delegat/ada de Protecció de Dades, i supervisar-ne el desplegament.
  • Participar en l'elaboració i en la proposta de la Política de Seguretat de la Informació i dels procediments, normatives i instruccions en aplicació de l'ENS.
  • Elaborar i proposar per a la seva aprovació per part de l'organització les polítiques de seguretat, normatives i procediments que inclouran les mesures tècniques i organitzatives, adequades i proporcionades, per gestionar els riscos que sorgeixin per a la seguretat de les xarxes i sistemes d'informació utilitzats i per prevenir i reduir al mínim els efectes dels ciberincidents que afectin l'organització i els serveis.
  • Elaborar i aprovar la Declaració d'Aplicabilitat, atenent als requeriments del Responsable de la Informació i del Servei.
  • Pel que fa als incidents de seguretat, comptant amb els responsables de l'entitat, de la informació i dels serveis:
  • Constituir el punt de contacte especialitzat per a la coordinació amb el CSIRT de referència, en particular amb el CCN-CERT o l'INCIBE.
  • Notificar a l'autoritat competent, a través del CSIRT de referència i sense dilació indeguda, els incidents que tinguin efectes pertorbadors en la prestació dels serveis.
  • Rebre, interpretar i aplicar les instruccions i guies emanades de l'Autoritat Competent, tant per a l'operativa habitual com per a l'esmena de les deficiències observades.
  • Recopilar, preparar i subministrar informació o documentació a l'autoritat competent o al CSIRT de referència, a la seva sol·licitud o per iniciativa pròpia.
  • Informar i coordinar-se amb el/la Delegat/ada de Protecció de Dades per verificar la possible exfiltració de dades i la generació de bretxes de dades personals. Identificar context, volum de dades afectades, nivell de sensibilitat d'aquestes, quantitat de persones afectades, origen d'aquestes persones i tot allò que comporti analitzar i identificar l'incident de seguretat que hagi ocasionat la destrucció, pèrdua o alteració accidental o il·lícita de les dades personals tractades per un responsable, o bé la comunicació o accés no autoritzats a aquestes.
  • Quan el sistema tracti dades personals, el Responsable de la Seguretat recollirà els requisits de protecció de dades que siguin fixats pel responsable o per l'encarregat del tractament, comptant amb l'assessorament del DPD, i que calgui implementar en els sistemes d'acord amb la naturalesa, abast, context i finalitats d'aquest, així com dels riscos per als drets i llibertats de conformitat amb el que s'estableix als articles 24 i 32 del RGPD, i amb l'avaluació d'impacte en la protecció de dades, si s'ha dut a terme.

Funcions del Responsable del Sistema ENS:

  • Desenvolupar, operar i mantenir el sistema d'informació durant tot el seu cicle de vida, incloent-hi les seves especificacions, instal·lació i verificació del seu correcte funcionament.
  • Desenvolupar la forma concreta d'implementar la seguretat al sistema i de la supervisió de l'operació diària del mateix, podent delegar en administradors o operadors sota la seva responsabilitat.
  • Definir la topologia i la gestió del sistema d'informació, establint els criteris d'ús i els serveis disponibles en aquest.
  • Assegurar-se que les mesures de seguretat s'integren adequadament en el marc general de seguretat.
  • Proporcionar assessorament per a la determinació de la Categoria del Sistema, en col·laboració amb el Responsable de Seguretat i/o el Comitè de Seguretat i Privacitat de la Informació.
  • Participar en l'elaboració i implantació dels plans de millora de la seguretat i, si escau, en els plans de continuïtat.
  • El Responsable del Sistema pot proposar la suspensió del tractament d'una certa informació o de la prestació d'un determinat servei si aprecia deficiències greus de seguretat que puguin afectar la satisfacció dels requisits establerts. La decisió final, que serà presa per la direcció de l'entitat, ha de ser acordada amb els responsables de la informació i els serveis afectats i amb el Responsable de la Seguretat.
  • En la gestió d'incidents de seguretat (ciberincidents) podrà, d'acord amb el Responsable de la Seguretat, suspendre de manera cautelar i urgent el tractament de la informació i la prestació dels serveis com a mesura de contenció. Aquesta suspensió haurà de ser comunicada als responsables de la informació i del servei i, en cas d'afectació a dades personals, al Delegat de Protecció de Dades, i si afecta la tramitació administrativa, als serveis jurídics de l'entitat.
  • Adoptar les mesures correctores adequades derivades dels informes d'auditoria de primera, segona o tercera part.
  • En el cas dels sistemes de categoria ALTA, vist el dictamen d'auditoria i atenent a una eventual gravetat de les deficiències trobades, podrà suspendre temporalment el tractament d'informacions, la prestació de serveis o l'operació total del sistema, fins a la seva adequada esmena o mitigació.
  • Adoptar mesures correctores de les auditories de primera, segona o tercera part, segons les conclusions traslladades pel Responsable de la Seguretat.
  • Dur a terme les funcions de l'administrador de la seguretat del sistema que inclouen:
  • L'implementació, gestió i manteniment de les mesures de seguretat aplicables al sistema d'informació.
  • La gestió, configuració i actualització, si escau, del maquinari i programari sobre els quals es basen els mecanismes i serveis de seguretat del sistema d'informació.
  • L'aplicació dels Procediments Operatius de Seguretat (POS).
  • Informar el Responsable de la Seguretat o el Responsable del Sistema de qualsevol anomalia, compromís o vulnerabilitat relacionada amb la seguretat.
  • Col·laborar en la investigació i resolució d'incidents de seguretat, des de la seva detecció fins a la seva resolució.
  • La gestió de les autoritzacions concedides als usuaris del sistema, en particular els privilegis concedits, incloent-hi el monitoratge de l'activitat desenvolupada al sistema i la seva correspondència amb el que està autoritzat.
  • Comprovar que els controls de seguretat establerts són adequadament observats.
  • Comprovar que s'apliquen els procediments aprovats per gestionar el sistema d'informació.
  • Comprovar les instal·lacions de maquinari i programari, les seves modificacions i millores per assegurar que la seguretat no està compromesa i que en tot moment s'ajusten a les autoritzacions pertinents.
  • Monitorar l'estat de seguretat del sistema proporcionat per les eines de gestió d'esdeveniments de seguretat i mecanismes d'auditoria tècnica implementats al sistema.

6.2. Comitè de Seguretat

Per garantir el compliment dels requisits de la norma ISO 27001 i de l'Esquema Nacional de Seguretat, i establir l'organització de la seguretat de la informació, adaptada a les necessitats i particularitats de l'organització, s'ha constituït un Comitè de Seguretat, compost per diferents responsables i membres de l'empresa, i que disposa de les següents responsabilitats en matèria de seguretat de la informació:

  • Informar regularment la Direcció sobre l'estat de la seguretat de la informació.
  • Promoure la millora contínua del sistema de gestió de la seguretat de la informació.
  • Elaborar l'estratègia d'evolució de l'organització pel que fa a la seguretat de la informació.
  • Coordinar els esforços de les diferents àrees en matèria de seguretat de la informació, per assegurar que els esforços són consistents, que estan alineats amb l'estratègia decidida en la matèria, evitant duplicats.
  • Elaborar (i revisar regularment) la Política de Seguretat de la Informació per a la seva aprovació per la Direcció.
  • Elaborar i elevar per a la seva aprovació la Normativa de Seguretat de la Informació.
  • Elaborar i aprovar els requisits de formació i qualificació d'administradors, operadors i usuaris, des del punt de vista de la seguretat de la informació.
  • Elaborar programes de formació destinats a formar i sensibilitzar el personal en matèria de Seguretat de la Informació i, en particular, en matèria de protecció de dades de caràcter personal.
  • Monitorar els principals riscos residuals assumits per l'organització i recomanar possibles actuacions.
  • Monitorar el rendiment dels processos de gestió d'incidents de seguretat i recomanar possibles actuacions respecte d'aquests. En particular, vetllar per la coordinació de les diferents àrees de seguretat en la gestió d'aquests incidents.
  • Promoure la realització de les auditories periòdiques que permetin verificar el compliment de les obligacions de l'organisme en matèria de seguretat.
  • Elaborar plans de millora de la seguretat de la informació de l'organització. En particular, vetllarà per la coordinació dels diferents plans que puguin realitzar-se en diferents àrees.
  • Prioritzar les actuacions en matèria de seguretat quan els recursos siguin limitats.
  • Vetllar perquè la seguretat de la informació es tingui en compte en tots els projectes TIC des de la seva especificació inicial fins a la seva posada en operació. En particular, haurà de vetllar per la creació i utilització de serveis horitzontals que redueixin duplicats i donin suport a un funcionament homogeni de tots els sistemes TIC.
  • Verificar l'elaboració dels procediments de seguretat de la informació i de la resta de documentació per a la seva aprovació.
  • Resoldre els conflictes de responsabilitat que puguin aparèixer entre els diferents responsables i/o entre diferents àrees de l'organització, elevant aquells casos en què no tingui prou autoritat per decidir.
  • Atendre les sol·licituds, en matèria de Seguretat de la Informació, de l'Administració i de les diferents àrees informant regularment de l'estat de la Seguretat de la Informació.
  • Assessorar en matèria de Seguretat de la Informació.
  • Resoldre els conflictes de responsabilitat que puguin aparèixer entre les diferents unitats administratives.

6.3. Composició del Comitè de Seguretat de la Informació

El Comitè de Seguretat estarà compost pels rols indicats anteriorment, relacionats amb el compliment del que es defineix a l'Esquema Nacional de Seguretat, així com pel Delegat de Protecció de Dades de l'organització, el Responsable de Compliment Legal i els representants de direcció i responsables d'àrea que es considerin necessaris en funció dels temes a tractar.

Addicionalment, i atès que el Comitè de Seguretat de la Informació no és un comitè tècnic, haurà de recollir regularment del personal tècnic, propi o extern, la informació pertinent per a la presa de decisions o assessorament. Aquest assessorament es determinarà en cada cas, i es podrà materialitzar de diferents formes:

  • Grups de treball especialitzats, interns, externs o mixtos.
  • Assessoria externa.
  • Assistència a cursos o a un altre tipus d'esdeveniments formatius o d'intercanvi d'experiències.

El Comitè de Seguretat de la Informació celebrarà les seves sessions a les dependències d'ASIGNO, amb una periodicitat trimestral, generant-se les corresponents actes de reunió amb les decisions adoptades en aquestes.

El Comitè de Seguretat de la Informació s'encarregarà també de la resolució dels conflictes i/o diferències d'opinions que puguin sorgir entre els rols de seguretat.

7. DADES DE CARÀCTER PERSONAL

Amb caràcter general, ASIGNO només recollirà dades de caràcter personal quan siguin adequades, pertinents i no excessives, i es trobin en relació amb l'àmbit i les finalitats per a les quals s'hagin obtingut. De la mateixa manera, adoptarà les mesures d'índole tècnica i organitzativa necessàries per al compliment de la normativa de protecció de dades vigent en cada cas.

A la vista de l'entrada en aplicació, el dia 25 de maig de 2018, del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades), i la seva trasllació a la legislació espanyola amb la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals, s'han anat adaptant les mesures oportunes, com ara l'anàlisi de legitimitat jurídica de cadascun dels tractaments de dades que es duguin a terme, l'anàlisi de riscos, l'avaluació d'impacte si el risc és alt, el registre d'activitats i el nomenament de qui hagi d'exercir les funcions de Delegat de Protecció de Dades.

L'organització ha definit els procediments, polítiques i mesures de seguretat necessàries per assegurar un compliment efectiu de la normativa.

8. DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ

El compliment dels objectius marcats en aquesta Política de seguretat es duu a terme mitjançant el desenvolupament de documentació que compon les normes i procediments de seguretat associats al compliment de la norma ISO 27001 i la resta de normativa d'aplicació. Per a la seva organització, s'ha definit un procediment per a la gestió de la documentació, que estableix les directrius per a l'organització, gestió i accés.

La revisió anual i l'aprovació de la present Política corresponen al Comitè de Seguretat, que proposarà, en cas que sigui necessari, les millores que consideri oportunes.

9. OBLIGACIONS DEL PERSONAL

Tots els membres d'ASIGNO, que es troben dins l'àmbit de l'ENS, quedaran subjectes a la present Política de Seguretat i l'hauran de tenir en consideració durant el desenvolupament de les seves activitats en l'àmbit laboral. En aquest sentit, tot el personal rebrà una conscienciació adequada en matèria de seguretat de la informació, a través de xerrades, accions formatives, comunicacions, bones pràctiques definides... S'establirà un programa de conscienciació contínua per atendre tots els membres d'ASIGNO, en particular els de nova incorporació.

Les persones amb responsabilitat en l'ús, operació o administració de sistemes TIC del Departament TIC rebran formació per al maneig segur dels sistemes en la mesura que la necessitin per realitzar la seva feina. La formació serà obligatòria abans d'assumir una responsabilitat, tant si és la seva primera assignació com si es tracta d'un canvi de lloc de treball o de responsabilitats en aquest.

10. TERCERES PARTS

Quan ASIGNO presti serveis a altres entitats o gestioni informació d'aquestes, se'ls farà partícips d'aquesta Política de seguretat.

ASIGNO definirà i aprovarà els canals per a la coordinació de la informació i els procediments d'actuació per a la reacció davant incidents de seguretat, així com la resta de les actuacions que l'organització dugui a terme en matèria de seguretat de la informació en relació amb altres entitats.

Quan ASIGNO utilitzi serveis de tercers o comuniqui informació a tercers, se'ls farà partícips d'aquesta Política de seguretat i de la normativa de seguretat existent que afecti aquests serveis o informació. Aquesta tercera part quedarà subjecta a les obligacions establertes en la normativa esmentada, podent desenvolupar els seus propis procediments operatius per satisfer-la. S'establiran procediments específics de comunicació i resolució d'incidències.

Es garantirà que el personal de tercers estigui adequadament conscienciat en matèria de seguretat, com a mínim al mateix nivell que l'establert en aquesta Política de seguretat.

Quan algun aspecte d'aquesta Política de seguretat no pugui ser satisfet per una tercera part segons es requereix als paràgrafs anteriors, es requerirà un informe del Responsable del SGSI que precisi els riscos en què s'incorre i la manera de tractar-los.

11. MODIFICACIONS I CONTROL DE VERSIONS

EDICIÓ DATA REALITZAT PER APROVAT PER MODIFICACIONS RESPECTE A L'EDICIÓ ANTERIOR
1.0 27/09/2022 Jorge Domingos Comitè de Seguretat Edició inicial
2.0 10/04/2025 Jorge Domingos Comitè de Seguretat Modificacions menors de format. Etiquetatge. Correccions menors.
3.0 17/11/2015 Jorge Domingos Comitè de Seguretat S'actualitza la Política de Seguretat, per tal d'assegurar el compliment dels requisits de l'ENS i la definició de responsabilitats derivada del mateix.