Política de seguridad de la información

OBJETO 

El propósito de esta Política de alto nivel es definir el objetivo, dirección, principios y reglas básicas para la gestión de la seguridad de la información. 

ALCANCE 

Esta política se aplica a todo el Sistema de Gestión de la Seguridad de la Información (SGSI), según se define en el documento sobre el alcance del SGSI. 

La presente política de la información se aplica a todas las personas, sistemas y medios que accedan, traten, almacenen, transmitan o utilicen la información conocida, gestionada o propiedad de la empresa para los procesos descritos 

El personal sujeto a esta política incluye a todas las personas con acceso a la información descrita, independientemente del soporte automatizado o no en el que se encuentre esta y de si el individuo es empleado o no de la empresa. Por lo tanto, también se aplica a los contratistas, clientes o cualquier otra tercera parte que tenga acceso a la información o los sistemas de la empresa. 

Para garantizar que el proceso de seguridad implantado será actualizado y mejorado de forma continua, se implantará y documentará un Sistema de Gestión de la Seguridad de la Información. Así, el contenido de la Política de Seguridad de la Información se desarrollará en normas y procedimientos complementarios de seguridad. 

DEFINICIONES 

A los fines de este documento, se aplican los términos y definiciones establecidos en ISO/IEC 27000. 

MARCO NORMATIVO 

Se toma como marco normativo de referencia además de la ISO 27001:2022, a título ejemplificativo, sin carácter exhaustivo, la siguiente legislación: 

  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. 
  • Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. 
  • Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. 
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. 
  • Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. 
  • Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. 
  • Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. 
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). 
  • Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014. 
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. 

Asimismo, resultarán de aplicación cuantas otras normas regulen la actividad de Talasana, S.L. en el ámbito de la prestación de sus servicios y aquellas otras dirigidas a asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en los medios electrónicos gestionados de sus clientes empresas, entidades y administraciones públicas en el ejercicio de su actividad y competencias. 

DOCUMENTOS RELACIONADOS 

  • Norma ISO/IEC 27001:2022  
  • Documento sobre el alcance del SGSI 
  • Declaración de aplicabilidad 

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 

Objetivos y medición 

El objetivo del plan implementación del SGSI es establecer, mantener y mejorar de forma continua la seguridad de la información en TALASANA S.L., y proteger mediante controles que se cumpla lo anterior en beneficio de la empresa, logrando que la información se mantenga actualizada, completa y veraz para cumplir las actividades de la organización.  

Para lograr esto se debe contar con el apoyo de la gerencia en donde se tenga claras las políticas que las áreas de la empresa deberán cumplir para garantizar la seguridad de la información. La política de seguridad de la información debe: 

  1. Estar disponible como información documentada 
  1. Comunicarse dentro de la empresa 
  1. Estar disponible para las partes interesadas 

La alta dirección debe establecer una política de la seguridad de la información que: 

  1. Sea adecuada al propósito de la organización  
  1. Incluya objetivos de seguridad de la información o proporcione el marco de referencia para el establecimiento de los objetivos de la seguridad de la información c) Incluye el compromiso de cumplir con los requisitos aplicables que se relacionan con la seguridad de la información  
  1. Incluya el compromiso de mejora continua del Sistema de Gestión de Seguridad de la Información 

Para poder llevar a cabo de la mejor manera el uso y ejecución de estas políticas se deberá nombrar una persona la cual estará encargada de la aprobación dichas políticas y quien asignará roles para verificar la seguridad, coordinar y revisar que la implementación de la seguridad sea efectuada en toda la empresa y según sea el enfoque de cada área. 

Requisitos de seguridad de la información.  

  • Seguir los lineamientos de los requisitos legales mencionados en el punto 4 de la Política de Seguridad de la Información, de acuerdo con el enfoque empresarial, garantizando el cumplimiento de las obligaciones legales y contractuales. 
  • Garantizar para los clientes y usuarios la ley de protección de la información y ley orgánica de protección de datos. 
  • Contemplar todo lo relacionado al acceso de la información, el uso de los recursos de la organización y el comportamiento en caso de que se produzcan incidentes de seguridad 

Objetivos de la seguridad de la información 

El objetivo principal de la política de seguridad de la información es la protección de la misma durante todo su ciclo de vida, desde su creación o recepción, durante su procesamiento, comunicación, transporte, almacenamiento, difusión y hasta su eventual borrado o destrucción. Por ello, se establecen los siguientes principios mínimos: 

  • Principio de confidencialidad: a los sistemas de información deberán acceder solo las personas usuarias, órganos y entidades o procesos autorizados para ello, respetando las obligaciones de secreto y sigilo profesional. 
  • Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de sus procesos de tratamiento, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección. 
  • Principio de disponibilidad y continuidad: se garantizará un nivel de disponibilidad en los sistemas de información y se dotarán los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves. 
  • Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información. 
  • Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información se deberá hacer bajo un enfoque de proporcionalidad en los costes económicos y operativos, sin perjuicio de que se disponga de recursos necesarios para el sistema de gestión de seguridad de la información. 
  • Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad TIC de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.  
  • Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.  
  • Principio de detección y respuesta: los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación y actuar en consecuencia respondiendo eficazmente a los incidentes de seguridad mediante los mecanismos establecidos.  
  • Principio de mejora continua: se revisará el grado de cumplimiento de los objetivos de mejora de la seguridad planificados anualmente y el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública.  
  • Principio de seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.  
  • Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios. 

La alta dirección es la responsable de revisar estos objetivos generales del SGSI y de establecer nuevos. Todos los objetivos deben ser revisados una vez al año 

Responsabilidades 

Las responsabilidades para el SGSI son las siguientes: 

  • El CTO es el responsable de garantizar que el SGSI sea implementado y mantenido de acuerdo con esta Política y de garantizar que todos los recursos necesarios estén disponibles. 
  • La alta dirección debe revisar el SGSI al menos una vez por año o cada vez que se produzca una notificación significativa; y debe elaborar actas de dichas reuniones. La dirección verifica la conveniencia, adecuación y eficacia del SGSI, define y revisa la estrategia de seguridad, toma las decisiones y dota los recursos necesarios para su implantación. 
  • El CTO implementará programas de formación y concienciación de empleados sobre la seguridad de la información 
  • Responsables de la operativa diaria: con carácter general, los responsables de proyecto son responsables de la operativa diaria y deben hacer que esta política se implemente. En aquellos trabajos en que no haya un jefe de proyecto, el CTO desempeñará esta función. 

La alta dirección de TALASANA se compromete a garantizar la protección de todos los activos de información en el ámbito del SGSI contra la divulgación no autorizada, la alteración y la pérdida de disponibilidad. Por esta razón, se garantiza la asignación de recursos suficientes para respaldar estos esfuerzos. 

La alta dirección de TALASANA es consciente del panorama de amenazas en constante evolución y reconoce la necesidad de adaptarse continuamente a los desafíos emergentes para mantener seguros los activos de información. Esta circunstancia exige la mejora continua de todas las actividades dentro del ámbito del SGSI. Además, se requiere que cada miembro de la organización contribuya al proceso de mejora continua en la medida de sus acciones. 

Ocupaciones Alta Dirección CTO Responsable de la operativa diaria Empleados / usuarios 
Identificar los requisitos del SGSI 
Definir el marco básico del SGSI 
Desarrollo de la metodología de evaluacion de riesgos y tratamiento 
Realización de la evaluación de riesgos y definición del plan de tratamiento de riesgos 
Implementación de controles 
Formación del personal 

A – Accountable, R – Responsable, C – Colaborador, I – Informado 

Comunicación de la política 

El CTO debe asegurarse de que todos los empleados de Talasana, S.L., como también los participantes externos correspondientes, estén familiarizados con esta política  

AUTORIDAD SOBRE LA POLÍTICA Y REVISIÓN 

El Comité de Seguridad tiene la autoridad para verificar el cumplimiento de la presente Política de Seguridad, la responsabilidad de hacer cumplir las directrices generales y actuaciones correspondientes contenidas en el mismo y la independencia para plantear acciones correctivas y preventivas necesarias para cumplir los objetivos del plan de tratamiento de riesgos y la mejora continua de la seguridad de la información. Este comité se reunirá al menos cada 6 meses. 

Es responsabilidad de todas las personas y departamentos implicados en los procesos o servicios incluidos en el alcance, el obligado cumplimiento de la presente Política de Seguridad. Para conseguir este propósito es necesaria la implicación y participación de todo el personal de Talasana. TALASANA, S.L. podrá requerir la participación de proveedores y terceros en la aplicación de las medidas de seguridad que se determinen como mínimos exigibles. 

El Comité de Seguridad de la Información es responsable de esta Política de Seguridad y deberá revisarla con al menos una periodicidad anual para valorar la vigencia del presente texto o actualizarlo según nuevos riesgos o nuevas necesidades de garantizar la seguridad de la información. 

Esta política se revisará también cada vez que haya cambios relevantes en la organización de TALASANA, para asegurar que esta sea adecuada a la estrategia y necesidades de la organización. 

La Política será propuesta y revisada por el Comité de Seguridad de la Información del que forma parte la Dirección de TALASANA, S.L. 

En caso de conflictos o diferentes interpretaciones de esta política se recurrirá al Comité de Seguridad de la Información.  

APROBACIÓN Y VIGENCIA 

La presentación a la Alta Dirección de Talasana de esta política y su consecuente aprobación se han producido el 3 de octubre de 2024, entrando en vigor desde esta fecha, y permanecerá vigente en tanto no se produzca ninguna modificación en la misma la cual será comunicada adecuadamente. 

Esta Política será objeto de revisión y actualización cuando sea necesario para adecuarla a los eventuales cambios normativos, sociales, económicos u organizativos. 

APROBADA POR ALTA DIRECCIÓN