ES EN CAT GL

Política de Seguridad

1. APROBACIÓN Y ENTRADA EN VIGOR

La presente Política de seguridad de la información ha sido elaborada y aprobada por el Comité de Seguridad de ASIGNO SERVICIOS INTEGRALES DE RECUPERACIÓN DE CRÉDITO, S.L., en adelante ASIGNO, y será efectiva y de aplicación desde la fecha de su publicación a través de la Intranet de la organización y la consiguiente comunicación a los usuarios.

2. INTRODUCCIÓN

ASIGNO ha desarrollado la presente Política de seguridad para definir los principios y las bases necesarias para una adecuada gestión de la seguridad de la información tratada por la entidad, así como para dar cumplimiento a los requisitos de la norma de referencia ISO 27001.

ASIGNO, para el desarrollo de sus actividades, depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por la norma de referencia, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación y desarrollo de los diferentes proyectos internos o externos de la organización.

2.1. Presentación empresa

ASIGNO es una firma española, nacida en 1982 y orientada al asesoramiento empresarial. Nuestra inquietud por aportar solución jurídico-económica al tejido industrial empresarial, nos ha llevado a evolucionar y ampliar nuestros servicios en todos los campos del Derecho de la Empresa, conformando así un Grupo que pretende cubrir todas las necesidades del mundo de los negocios, en temas concursales, recuperación de deuda, asesoramiento financiero así como una asesoría fiscal, laboral y contable, sin perder el foco que nos movió desde los inicios como expertos en reestructuración empresarial.

ASIGNO está compuesto actualmente por más de 300 abogados y economistas, ofreciendo un servicio integrado jurídico-económico a nivel nacional e internacional, a través de sus seis sedes en Madrid, Barcelona, Oviedo, Valladolid, Vigo y Sevilla, que nos garantiza un acceso y acompañamiento cercano a los intereses de nuestros clientes.

Conocimiento de primera línea de los sectores económicos en los que actúan. Sabemos que la creación de oportunidades para nuestros clientes surge de considerar perspectivas muy difíciles de tener sin las destrezas que derivan de una experiencia sectorial dilatada.

Alta especialización en distintas áreas jurídicas. Es una condición necesaria y no suficiente para formar parte de nuestra organización.

Estamos organizados en equipos multidisciplinares, con el objetivo de ofrecer las visiones y soluciones más enriquecedoras, con el mayor valor añadido para nuestros clientes.

Nuestra interlocución es ágil y directa. Nuestra estructura es muy plana. La implicación de los socios y asociados de alto nivel es lo común. Esto es muy valorado por nuestros clientes.

Como parte de ASIGNO, contamos también con la sociedad, TAX MASTER GESTIÓN, una asesoría fiscal, laboral, contable que ayuda a las empresas al cumplimiento de sus obligaciones recurrentes en materia de liquidación y presentación de impuestos, gestión y administración de personal, llevanza de contabilidad y todos los asuntos relacionados con la optimización de estas materias.

Su actuación se da en una gran variedad de ámbitos: trabajando para todos los sectores de actividad, empresas familiares, fundaciones, particulares con grandes patrimonios e instituciones de distintas características.

2.2. Valores de la organización

Conocimiento

Conocimiento financiero y jurídico de primera línea de los sectores económicos en los que actuamos, que se traduce en la creación de nuevas oportunidades para nuestros clientes.

Experiencia

Nuestra actividad se desarrolla en todos los campos del derecho de la empresa desde hace más de 35 años, actuando en todo el ámbito nacional e internacional.

Valores

Compromiso con los resultados, honestidad y firmeza en la ejecución de las alternativas, creatividad en la generación de soluciones, proactividad en los procesos más delicados, acompañamos en los objetivos del cliente haciendo juntos todo el camino.

3. ALCANCE

Esta Política se aplicará a los sistemas de información de ASIGNO que dan soporte a los servicios prestados desde la propia organización.

En particular, ASIGNO ha decidido la certificación de la gestión de la seguridad de la información según la norma ISO 27001 para el siguiente alcance:

ISO 27001:

"Sistema de Gestión de Seguridad de la Información que da soporte a todos los Sistemas de Información y personal de ASIGNO SERVICIOS INTEGRALES DE RECUPERACIÓN DE CRÉDITO, S.L. relacionados con los servicios prestados por las diferentes sociedades, en el ámbito financiero, legal, tributario y concursal, y con los servicios cloud asociados a estos servicios".

4. MARCO NORMATIVO

Para el desarrollo de esta Política de seguridad y del sistema de gestión asociado, se han tenido en consideración:

Norma UNE-EN ISO/IEC 27001:2023 Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos.

Norma UNE-EN ISO/IEC 27002:2023 Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información.

Real Decreto 311/2022, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.

Adicionalmente, se tienen en consideración todas aquellas normativas o estándares relacionadas con la seguridad de la información que puedan ser de aplicación o relevantes para la organización, y que se identifican a través del Procedimiento de cumplimiento legal y el registro asociado al mismo. Entre estas normas de referencia se pueden considerar, entre otras:

Norma ISO 27017:2021 Controles de Seguridad para Servicios en la Nube.

Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016 (RGPD).

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

El mantenimiento del marco normativo será responsabilidad de ASIGNO, y se mantendrá como anexo al Procedimiento de cumplimiento legal.

5. CUMPLIMIENTO DE LOS REQUISITOS MÍNIMOS DE SEGURIDAD

ASIGNO, para lograr el cumplimiento de los requisitos de las citadas normas y normativas de seguridad, ha implementado diversos procesos y medidas de seguridad proporcionales a la naturaleza de la información y los servicios a proteger.

5.1. La seguridad como un proceso integral y mínimo privilegio

La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales, jurídicos y organizativos, relacionados con el sistema. La gestión de la seguridad de la información en ASIGNO, estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.

Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para evitar que la ignorancia, la falta de organización y coordinación, o de instrucciones inadecuadas, constituyan fuentes de riesgo para la seguridad.

Los sistemas de información deben diseñarse y configurarse otorgando los mínimos privilegios necesarios para su correcto desempeño, lo que implica incorporar los siguientes aspectos:

  • El sistema proporcionará la funcionalidad imprescindible para que la organización alcance sus objetivos competenciales o contractuales.
  • Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son desarrolladas por las personas autorizadas, desde emplazamientos o equipos asimismo autorizados; pudiendo exigirse, en su caso, restricciones de horario y puntos de acceso facultados.
  • En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que sean innecesarias o inadecuadas al fin que se persigue. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.
  • Se aplicarán guías de configuración de seguridad para las diferentes tecnologías, adaptadas a la organización, al efecto de eliminar o desactivar las funciones que sean innecesarias o inadecuadas.

5.2. Vigilancia continua, reevaluación periódica e integridad, actualización del sistema y mejora continua del proceso de seguridad

La vigilancia continua por parte de ASIGNO permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta.

La evaluación permanente del estado de la seguridad de los activos permitirá medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración.

Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.

La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa.

La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo a las deficiencias de configuración, las vulnerabilidades identificadas y las actualizaciones que les afecten, así como la detección temprana de cualquier incidente que tenga lugar.

El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a la gestión de la seguridad de las tecnologías de la información.

5.3. Gestión de personal y profesionalidad

Todo el personal, propio o ajeno, relacionado con los sistemas de información de ASIGNO, dentro del ámbito del Sistema de Gestión de Seguridad de la Información (SGSI), será formado e informado de sus deberes, obligaciones y responsabilidades en materia de seguridad. Su actuación será supervisada para verificar que se siguen los procedimientos establecidos.

Se elaborarán normas de uso aceptable relacionadas con los activos corporativos, el correo electrónico, los soportes, etc., que serán aprobadas por el Comité de seguridad. De igual modo, se determinarán los requisitos necesarios de formación y experiencia del personal para el desarrollo de su puesto de trabajo.

La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.

De manera objetiva y no discriminatoria se exigirá que las organizaciones que nos proporcionan servicios cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez de los servicios prestados.

5.4. Gestión de la seguridad basada en los riesgos, análisis y gestión de riesgos

El análisis y la gestión de los riesgos será parte esencial del proceso de seguridad y será una actividad continua y permanentemente actualizada.

La gestión de los riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos a niveles aceptables. La reducción a estos niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza de la información tratada, de los servicios a prestar y de los riesgos a los que estén expuestos.

Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema, utilizando una metodología reconocida. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.

5.5. Incidentes de seguridad, prevención, detección, reacción y recuperación

ASIGNO dispone de procedimientos de gestión de incidentes de seguridad de acuerdo con los requisitos de la norma ISO 27001 y de los requisitos derivados de las normativas de aplicación (por ejemplo, normativa de protección de datos), y de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los cauces de comunicación a las partes interesadas.

La seguridad del sistema contemplará las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la información que maneja o a los servicios que presta.

Las medidas de prevención podrán incorporar componentes orientados a la disuasión o a la reducción de la superficie de exposición, deben eliminar o reducir la posibilidad de que las amenazas lleguen a materializarse.

Las medidas de detección irán dirigidas a descubrir la presencia de un ciberincidente.

Las medidas de respuesta se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad.

El sistema de información garantizará la conservación de los datos e información en soporte electrónico.

De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.

5.6. Existencia de líneas de defensa y prevención ante otros sistemas de información interconectados

ASIGNO ha implementado una estrategia de protección del sistema de información constituida por múltiples capas de seguridad, constituidas por medidas organizativas, físicas y lógicas, de tal forma que cuando una capa ha sido comprometida permita desarrollar una reacción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que el sistema sea comprometido en su conjunto y minimizar el impacto final sobre el mismo.

Se protegerá el perímetro del sistema de información, especialmente, cuando el sistema de la organización se conecta a redes públicas, reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad.

En todo caso, se analizarán los riesgos derivados de la interconexión del sistema con otros sistemas y se controlará su punto de unión.

5.7. Diferenciación de responsabilidades, organización e implantación del proceso de seguridad

ASIGNO ha organizado su seguridad comprometiendo a los miembros correspondientes de la organización mediante la designación de diferentes roles de seguridad con responsabilidades claramente diferenciadas, tal y como se recoge en el apartado de “Organización de la seguridad” del presente documento.

5.8. Autorización y control de los accesos

ASIGNO ha implementado mecanismos de control de acceso al sistema de información, limitándolo a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, y exclusivamente a las funciones permitidas.

5.9. Protección de las instalaciones

ASIGNO ha implementado mecanismos de control de acceso físico, previniendo los accesos físicos no autorizados, así como los daños a la información y a los recursos, mediante perímetros de seguridad, controles físicos y protecciones generales en áreas.

5.10. Adquisición de productos de seguridad y contratación de servicios de seguridad

Para la adquisición de productos o contratación de servicios de seguridad, ASIGNO, siempre que sea posible, tendrá en cuenta a proveedores que tengan certificaciones en estándares de seguridad reconocidos, como ISO 27001, ISO 27017, ISO 27018, ISO 22301 y similares.

5.11. Protección de la información almacenada y en tránsito y continuidad de la actividad

ASIGNO prestará especial atención a la información almacenada o en tránsito a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, que deberán analizarse especialmente para lograr una adecuada protección.

Los sistemas dispondrán de copias de seguridad y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.

5.12. Registro de actividad y detección de código dañino

ASIGNO, con el propósito de satisfacer la normativa de aplicación, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, registrará las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, identificando en cada momento a la persona que actúa.

Al objeto de preservar la seguridad de los sistemas de información, y de conformidad con lo dispuesto en el Reglamento General de Protección de Datos y el respeto a los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación allí enunciados, ASIGNO podrá, en la medida estrictamente necesaria y proporcionada, analizar las comunicaciones entrantes o salientes, y únicamente para los fines de seguridad de la información, de forma que sea posible impedir el acceso no autorizado a las redes y sistemas de información, detener los ataques de denegación de servicio, evitar la distribución malintencionada de código dañino así como otros daños a las antedichas redes y sistemas de información.

Para corregir o, en su caso, exigir responsabilidades, cada usuario que acceda al sistema de información deberá estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado una determinada actividad.

6. ORGANIZACIÓN DE LA SEGURIDAD

6.1. Roles y responsabilidades de Seguridad de la Información.

Para garantizar el cumplimiento y la adaptación de las medidas exigidas para el Real Decreto Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, se han creado roles o perfiles de seguridad que formarán parte del Comité de Seguridad, y se han designado los cargos u órganos que los ocuparán, del siguiente modo:

  • Responsable de Información y Servicios: Responsable de servicios centrales.
  • Responsable de Seguridad de la Información del ENS: Director de TI.
  • Responsable del Sistema del ENS: Responsable de Desarrollo.

El resto de roles y perfiles relacionados con la seguridad de la información, y las responsabilidades de cada uno de ellos, se definirán a través del Manual de Gestión del SGSI de ASIGNO.

A continuación, se detallan y se establecen las funciones y responsabilidades de cada uno de los roles definidos, sobre las que se dará correspondiente traslado a las personas designadas, mediante un proceso formal que requerirá la aceptación, por su parte, de dichas responsabilidades.

Funciones del Responsable de la Información y de los Servicios:

  • Establecer y aprobar los requisitos de seguridad aplicables al servicio y la información dentro del marco establecido en el anexo I del Real Decreto 311/2022, de 3 de Mayo y RGPD, pudiendo recabar una propuesta al Responsable de Seguridad ENS y teniendo en cuenta la opinión del Responsable del Sistema ENS y Delegado/a de Protección de Datos.
  • Informar sobre los derechos de acceso al Servicio y a la Información.
  • Aceptar los niveles de riesgo residual que afectan al Servicio y a la Información.
  • Poner en comunicación del Responsable de la Seguridad y Delegado/a de Protección de Datos, cualquier variación respecto a la Información y los Servicios de los que es responsable, especialmente la incorporación de nuevos Servicios o Información a su cargo.
  • Velar por la adecuada realización de sus funciones, dentro del marco de seguridad adecuado, ayudando a difundir el conocimiento y la cultura de seguridad y protección de datos necesarias para el correcto tratamiento de los datos y la información.
  • Colaborar en la definición y aprobación de las actividades de tratamiento de datos personales propias de su área de responsabilidad.
  • Determinar los requisitos (de seguridad) de la información tratada y los servicios prestados.
  • Recibir información sobre los incidentes y de las actuaciones realizadas para su resolución.
  • Efectuar las valoraciones a las que se refiere el artículo 40 del ENS (categorías de seguridad), así como, en su caso, su posterior modificación.
  • Determinación de los criterios para asignar y modificar a cada información el nivel de seguridad requerido, y será responsable de su documentación y aprobación formal.

Funciones del Responsable de la Seguridad ENS:

  • Mantener y verificar el nivel adecuado de seguridad de la Información manejada y de los servicios electrónicos prestados por los sistemas de información.
  • Determinar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
  • Determinar las medias de seguridad aplicables, en función de las valoraciones hechas por los Responsables de la Información y los Servicios
  • Supervisar la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportar sobre estas cuestiones.
  • Formalización y aprobación de las medidas seleccionadas en la Declaración de Aplicabilidad, incluyendo las medidas compensatorias o complementarias de vigilancia y su correspondencia con las medidas del Anexo II de Real Decreto citado.
  • Comprobar que las medidas de seguridad de la información han sido adecuadamente implementadas por el Responsable del Sistema.
  • Determinación de la categoría de seguridad del sistema, con base en las valoraciones de los Responsables de la Información y del Servicio.
  • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
  • Promover la realización del análisis de riesgos.
  • Designar responsables de la ejecución del análisis de riesgos, de la declaración de aplicabilidad, identificar medidas de seguridad, determinar configuraciones necesarias, elaborar documentación del sistema.
  • Proporcionar asesoramiento para la determinación de la categoría del sistema, en colaboración con el Responsable del Sistema y/o Comité de Seguridad de la Información de la Información.
  • Participar en la elaboración e implantación de los planes de mejora de la seguridad y llegado el caso en los planes de continuidad, procediendo a su validación.
  • Gestionar las revisiones externas o internas del sistema.
  • Gestionar los procesos de certificación.
  • Análisis de los informes de Auditoria de primera, segunda o tercera parte que se refieran a los sistemas de su ámbito competencial, y presentación de sus conclusiones al Responsable del Sistema y, en su caso, al Comité de Seguridad de la Información.
  • Elevar al Comité de Seguridad la aprobación de cambios y otros requisitos del sistema.
  • Aprobación explicita de los cambios que impliquen un riesgo de nivel ALTO con carácter previo a su implantación.
  • Analizar los riesgos antes del despliegue de los sistemas de inteligencia artificial en la entidad, atendiendo a las valoraciones del Responsable de la Información y del Servicio y, en su caso, del Delegado de Protección de Datos y supervisar su despliegue.
  • Participar en la elaboración y en la propuesta de la Política de Seguridad de la Información y los procedimientos, normativas e instrucciones en aplicación del ENS.
  • Elaborar y proponer para aprobación por la organización las políticas de seguridad, normativas y procedimientos que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios.
  • Elaborar y aprobar la Declaración de Aplicabilidad, atendiendo a los requerimientos del Responsable de la Información y del Servicio.
  • En lo que respecta a las incidentes de seguridad, contando con los responsables de la entidad, de la información y de los servicios:
  • Constituir el punto de contacto especializado para la coordinación con el CSIRT de referencia, en particular con el CCNCert o el INCIBE
  • Notificar a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, los incidentes que tengan efectos perturbadores en la prestación de los servicios.
  • Recibir, interpretar y aplicar las instrucciones y guías emanadas de la Autoridad Competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.
  • Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.
  • Informar y coordinarse con el/la Delegado/a de Protección de Datos para verificar la posible exfiltración de datos y generación de brecha de datos personales. Identificar contexto, volumen de datos afectados, nivel de sensibilidad de los mismos, cantidad de personas afectadas, origen de esas personas y todo lo que conlleve a analizar e identificar el incidente de seguridad que haya ocasionado la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por un responsable, o bien la comunicación o acceso no autorizados a los mismos.
  • Cuando el sistema trate datos personales, el Responsable de la Seguridad recogerá los requisitos de protección de datos que sean fijados por el responsable o por el encargado del tratamiento, contando con el asesoramiento del DPD, y que sean necesarios implementar en los sistemas de acuerdo a la naturaleza, alcance, contexto y fines del mismo, así como de los riesgos para los derechos y libertades de acuerdo a lo establecido en los artículos 24 y 32 del RGPD, y con la evaluación de impacto en la protección de datos, si se ha llevado a cabo.

Funciones del Responsable del Sistema ENS:

  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.
  • Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad
  • Proporcionar asesoramiento para la determinación de la Categoría del Sistema, en colaboración con el Responsable de Seguridad y/o Comité de Seguridad y Privacidad de la Información de la Información.
  • Participará en la elaboración e implantación de los planes de mejora de la seguridad y llegado el caso en los planes de continuidad.
  • El Responsable del Sistema puede proponer la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. La decisión final, que será tomada por la dirección de la entidad, debe ser acordada con los responsables de la información y los servicios afectados y el Responsable de la Seguridad.
  • En la gestión de incidentes de seguridad (ciberincidentes) podrá, de acuerdo con el Responsable de la Seguridad, suspender de forma cautelar y urgente el tratamiento de la información y la prestación de los servicios como medida de contención. Dicha suspensión deberá ser comunicada a los responsables de la información y del servicio y, en caso de afección a datos personales al Delegado de Protección de Datos, y si afecta a la tramitación administrativa, a los servicios jurídicos de la entidad.
  • Adoptar las medidas correctoras adecuadas derivadas de los informes de Auditoría de primera, segunda o tercera parte.
  • En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría y atendiendo a una eventual gravedad de las deficiencias encontradas, podrá suspender temporalmente el tratamiento de informaciones, la prestación de servicios o la total operación del sistema, hasta su adecuada subsanación o mitigación.
  • Adopción de medidas correctoras de las auditorías de primera, segunda o tercera parte, según las conclusiones trasladadas por el Responsable de la Seguridad.
  • Llevar a cabo las funciones del administrador de la seguridad del sistema que incluyen:
  • La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.
  • La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de información.
  • La aplicación de los Procedimientos Operativos de Seguridad (POS).
  • Informar al Responsable de la Seguridad o al Responsable del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
  • Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.
  • La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la actividad desarrollada en el sistema y su correspondencia con lo autorizado.
  • Comprobar que los controles de seguridad establecidos son adecuadamente observados.
  • Comprobar que son aplicados los procedimientos aprobados para manejar el sistema de información.
  • Comprobar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
  • Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.

6.2. Comité de Seguridad

Para garantizar el cumplimiento de los requisitos de la norma ISO 27001 y del Esquema Nacional de Seguridad, y establecer la organización de la seguridad de la información, adaptada a las necesidades y particularidades de la organización, se ha constituido un Comité de Seguridad, compuesto por diferentes responsables y miembros de la empresa, y que dispone de las siguientes responsabilidades en materia de seguridad de la información:

  • Informar regularmente del estado de la seguridad de la información a la Dirección.
  • Promover la mejora continua del sistema de gestión de la seguridad de la información.
  • Elaborar la estrategia de evolución de la organización en lo que respecta a seguridad de la información.
  • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, que están alineados con la estrategia decidida en la materia, evitando duplicidades.
  • Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su aprobación por la Dirección.
  • Elaborar y elevar para su aprobación la Normativa de Seguridad de la información.
  • Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios, desde el punto de vista de seguridad de la información.
  • Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de Seguridad de la Información y en particular en materia de protección de datos de carácter personal.
  • Monitorizar los principales riesgos residuales asumidos por la organización y recomendar posibles actuaciones.
  • Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de tales incidentes.
  • Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
  • Elaborar planes de mejora de la seguridad de la información de la organización. En particular velará por la coordinación de distintos planes que puedan realizarse en diferentes áreas.
  • Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
  • Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
  • Verificar el desarrollo los procedimientos de seguridad de la información y demás documentación para su aprobación.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
  • Atender las solicitudes, en materia de Seguridad de la Información, de la Administración y de las diferentes áreas informando regularmente del estado de la Seguridad de la Información.
  • Asesorar en materia de Seguridad de la Información.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre las diferentes unidades administrativas.

6.3. Composición del Comité de Seguridad de la Información

El Comité de Seguridad estará compuesto por los roles indicados anteriormente, relacionados con el cumplimiento de lo definido en el Esquema Nacional de Seguridad, así como por el Delegado de Protección de Datos de la organización, el Responsable de Cumplimiento Legal, y los representantes de dirección y responsables de área que se consideren necesarios en función de los temas a tratar.

Adicionalmente, y puesto que el Comité de Seguridad de la Información no es un comité técnico, deberá recabar regularmente de personal técnico, propio o externo, la información pertinente para la toma de decisiones o asesoramiento. Este asesoramiento se determinará en cada caso, pudiendo materializarse de diferentes formas:

  • Grupos de trabajo especializados, internos, externos o mixtos.
  • Asesoría externa.
  • Asistencia a cursos u otro tipo de eventos formativos o de intercambio de experiencias.

El Comité de Seguridad de la Información celebrará sus sesiones en las dependencias de ASIGNO, con una periodicidad trimestral, generándose los correspondientes actas de reunión con las decisiones adoptadas en las mismas.

El Comité de Seguridad de la Información, se encargará también, de la resolución de los conflictos y/o diferencias de opiniones, que pudieran surgir entre los roles de seguridad.

7. DATOS DE CARÁCTER PERSONAL

Con carácter general, ASIGNO sólo recogerá datos de carácter personal cuando sean adecuados, pertinentes y no excesivos, y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de protección de datos vigente en cada caso.

A la vista de la entrada en aplicación, el día 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y su traslación a la legislación española con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se han ido adaptando las medidas oportunas tales como, el análisis de legitimidad jurídica de cada uno de los datos tratamientos de datos que se lleven a cabo, el análisis de riesgos, la evaluación de impacto si el riesgo es alto, el registro de actividades y el nombramiento de quien vaya a desempeñar las funciones de Delegado de Protección de Datos.

La organización ha definido los procedimientos, políticas y medidas de seguridad necesarias para asegurar un cumplimiento efectivo de la normativa.

8. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

El cumplimiento de los objetivos marcados en esta Política de seguridad se lleva a cabo mediante el desarrollo de documentación que componen las normas y procedimientos de seguridad asociados al cumplimiento de la norma ISO 27001 y el resto de normativa de aplicación. Para su organización se ha definido un procedimiento para la gestión de la documentación, que establece las directrices para la organización, gestión y acceso.

La revisión anual y la aprobación de la presente Política corresponde al Comité de Seguridad, quien propondrá, en caso de que sea necesario, las mejoras que considere oportunas.

9. OBLIGACIONES DEL PERSONAL

Todos los miembros de ASIGNO, que se encuentran dentro del ámbito del ENS, quedarán sujetos a la presente Política de Seguridad, y la deberán de tener en consideración durante el desarrollo sus actividades en el ámbito laboral. En este sentido, todo el personal recibirá una concienciación adecuada en materia de seguridad de la información, a través de charlas, acciones formativas, comunicaciones, buenas prácticas definidas...Se establecerá un programa de concienciación continua para atender a todos los miembros de ASIGNO, en particular al de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC del Departamento TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

10. TERCERAS PARTES

Cuando ASIGNO preste servicios a otras entidades, o maneje información de éstas, se les hará partícipes de esta Política de seguridad.

ASIGNO definirá y aprobará los canales para la coordinación de la información y los procedimientos de actuación para la reacción ante incidentes de seguridad, así como el resto de las actuaciones que la organización lleve a cabo en materia de seguridad de la información en relación con otras entidades.

Cuando ASIGNO utilice servicios de terceros o comunique información a terceros, se les hará partícipes de esta Política de seguridad y de la normativa de seguridad existente que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la mencionada normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de comunicación y resolución de incidencias.

Se garantizará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de seguridad.

Cuando algún aspecto de esta Política de seguridad no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable del SGSI que precise los riesgos en que se incurre y la forma de tratarlos.

11. MODIFICACIONES Y CONTROL DE VERSIONES

EDICIÓN FECHA REALIZADO POR APROBADO POR MODIFICACIONES RESPECTO A LA EDICIÓN ANTERIOR
1.0 27/09/2022 Jorge Domingos Comité de Seguridad Edición inicial
2.0 10/04/2025 Jorge Domingos Comité de Seguridad Modificaciones menores de formato. Etiquetado. Correcciones menores.
3.0 17/11/2015 Jorge Domingos Comité de Seguridad Se actualiza la Política de Seguridad, a fin de asegurar el cumplimiento de los requisitos del ENS y la definición de responsabilidades derivada del mismo.