+34 910 88 32 04
LOGIN
Solicitar demo
Logo Xerppa
+34 910 88 32 04
Solicitar demo
Login

Politica de Seguridad de la Informacion

Revision Descripcion de la modificacion Fecha
01 Emision inicial y aprobacion 01/04/25
02 Revision del marco normativo conforme a ISO/IEC 27001:2022 y correccion de errata 01/04/26

1 Aprobacion y entrada en vigor

Esta Politica de Seguridad de la Informacion es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Politica. Este texto aprobado por el Comite de Seguridad de la empresa.

2 Introduccion

GESTION Y FINANZAS 365 depende de los sistemas TIC (Tecnologias de Informacion y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a danos accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la informacion tratada o los servicios prestados.

El objetivo de la seguridad de la informacion es garantizar la calidad de la informacion y la prestacion continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rapida evolucion con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la informacion y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestacion continua de los servicios. Esto implica que los departamentos deben aplicar las medidas minimas de seguridad, asi como realizar un seguimiento continuo de los niveles de prestacion de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepcion hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisicion y las actividades de explotacion. Los requisitos de seguridad y las necesidades de financiacion, deben ser identificados e incluidos en la planificacion, en la solicitud de ofertas, y en pliegos de licitacion para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes de seguridad.

Desde la Gerencia de GESTIÓN Y FINANZAS 365, siguiendo con nuestro planteamiento de mejora continua, enfocamos nuestras líneas estratégicas de Seguridad de la Información en la triada CIA (confidencialidad, integridad y disponibilidad). Nos comprometemos a evidenciar el desarrollo e implementación de un sistema de gestión de la seguridad en la información y ofrecer una mejora continua en nuestra actividad, para ello establecemos los siguientes principios:

  • Llevar a cabo una formación y concienciación constante en el personal de la empresa en temas de Seguridad de la Información.
  • Cumplir con los requisitos de las normas ISO de Seguridad de la Información, de los requisitos establecidos con nuestros clientes relativos a seguridad de la información y de la reglamentación legislativa aplicable a nuestra actividad.
  • Revisar periódicamente todos los datos obtenidos, el análisis de riesgos de seguridad de la información, para analizar y obtener conclusiones sobre nuestro funcionamiento y con ellos establecernos objetivos y metas de progreso.
  • Cumplir y mejorar continuamente la eficacia del sistema de gestión de seguridad de la información.
  • Promover la mentalización sobre esta política a todos los empleados para hacer frente común en nuestros objetivos.

2.1 Prevencion

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la informacion o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas minimas de seguridad de la informacion, asi como cualquier control adicional identificado a traves de una evaluacion de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la politica, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operacion.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuracion realizados de forma rutinaria.
  • Solicitar la revision periodica por parte de terceros con el fin de obtener una evaluacion independiente.

2.2 Deteccion

Dados que los servicios se pueden degradar rapidamente debido a incidentes, que van desde una simple desaceleracion hasta su detencion, los servicios deben monitorizar la operacion de manera continua para detectar anomalias en los niveles de prestacion de los servicios y actuar en consecuencia.

La monitorizacion es especialmente relevante cuando se establecen lineas de defensa. Se estableceran mecanismo de deteccion, analisis y reporte que llegue a los responsables regularmente y cuando se produce una desviacion significativa de los parametros que se hayan preestablecido como normales.

2.3 Respuesta

Los departamentos deben:

  • Establecer los mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecer protocolos para el intercambio de informacion relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

2.4 Recuperacion

Para garantizar la disponibilidad de los servicios criticos, los departamentos deben desarrollar planes de continuidad de negocio y actividades de recuperacion.

3 Alcance

Esta politica se aplica a todos los sistemas TIC de GESTION Y FINANZAS 365 y a todos los miembros de GESTION Y FINANZAS 365, sin excepciones. Todos los miembros deberan tener acceso en todo momento a este documento.

El alcance exacto es el siguiente:

«Consultoria Business Analitycs. Consultoria de procesos de negocios. Suministro, mantenimiento de productos tecnologicos. Formacion en tecnologias informaticas»

4 Mision

GESTION Y FINANZAS 365, S.L. tiene como mision ofrecer servicios de consultoria en Business Analytics, consultoria de procesos de negocio, suministro y mantenimiento de productos tecnologicos y formacion en tecnologias informaticas, garantizando la confidencialidad, integridad y disponibilidad de la informacion tratada conforme a la norma UNE-ISO/IEC 27001:2022.

5 Marco normativo

Segun la legislacion vigente, las leyes aplicables a GESTION Y FINANZAS 365 en materia de Seguridad de la Informacion son:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccion de las personas fisicas en lo que respecta al tratamiento de datos personales y a la libre circulacion de estos datos (RGPD).
  • Ley Organica 3/2018, de 5 de diciembre, de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD) (BOE de 6 de diciembre de 2018).
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacion y de Comercio Electronico (LSSI-CE) (BOE de 12 de julio de 2002).
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual (BOE de 22 de abril de 1996).
  • UNE-ISO/IEC 27001:2022 Tecnologia de la informacion. Tecnicas de seguridad. Sistemas de gestion de la seguridad de la informacion. Requisitos.
  • UNE-ISO/IEC 27002:2022 Tecnologia de la informacion. Tecnicas de seguridad. Codigo de practicas para los controles de seguridad de la informacion.

GESTION Y FINANZAS 365 cumple con la legislacion citada y con todos sus requisitos y dispone de asesoria legal.

6 Organizacion de la seguridad

6.1 Comites: Funciones y responsabilidades

El Comite de Seguridad de la Informacion coordina la seguridad de la informacion en GESTION Y FINANZAS 365.

El Comite de Seguridad de la Informacion estara presidido la Gerencia de GESTION Y FINANZAS 365 y formado por:

  • Responsable de la Informacion: Sara Valle Carrasco
  • Responsable de los Servicios: Maria Garcia Capellan
  • Responsable de Seguridad: Juan Luis Rodriguez Pardo
  • Responsable del Sistema: Juan Luis Rodriguez Pardo

El Comite de Seguridad tendra las siguientes funciones:

  • Informar regularmente del estado de la seguridad de la informacion al Comite de Seguridad de la Informacion de GESTION Y FINANZAS 365.
  • Promover la mejora continua del sistema de gestion de la seguridad de la informacion.
  • Elaborar la estrategia de evolucion de GESTION Y FINANZAS 365 en lo que respecta a seguridad de la informacion.
  • Coordinar los esfuerzos de las diferentes areas en materia de seguridad de la informacion, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
  • Elaborar y revisar regularmente la Politica de Seguridad de la Informacion para que sea aprobada por el Comite de Seguridad de la Informacion de GESTION Y FINANZAS 365.
  • Aprobar la normativa de seguridad de la informacion.
  • Elaborar y aprobar los requisitos de formacion y calificacion de administradores, operadores y usuarios desde el punto de vista de seguridad de la informacion.
  • Monitorizar los principales riesgos residuales asumidos por GESTION Y FINANZAS 365 y recomendar posibles actuaciones respecto de ellos.
  • Monitorizar el desempeno de los procesos de gestion de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
  • Promover la realizacion de las auditorias periodicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
  • Aprobar planes de mejora de la seguridad de la informacion de GESTION Y FINANZAS 365.
  • Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
  • Velar porque la seguridad de la informacion se tenga en cuenta en todos los proyectos desde su especificacion inicial hasta su puesta en operacion.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

El Responsable de Seguridad tendra como funciones:

  • Convocar, segun las indicaciones de la presidencia, las reuniones del Comite de Seguridad de la Informacion.
  • Preparar los temas a tratar en las reuniones del Comite, aportando informacion puntual para la toma de decisiones.
  • Elaborar el acta de las reuniones.
  • Llevar a cabo la ejecucion directa o delegada de las decisiones del Comite.

6.2 Roles: Funciones de los miembros del comite

Las funciones de los miembros del Comite de Seguridad de la Informacion seran las siguientes:

Responsable de la Informacion

  • Velar por el buen uso de la informacion y, por tanto, de su proteccion.
  • Ser responsable ultimo de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
  • Establecer los requisitos de la informacion en materia de seguridad.
  • Determinar los niveles de seguridad de la informacion.

Responsable de los Servicios

  • Establecer los requisitos del servicio en materia de seguridad, incluyendo los correspondientes a interoperabilidad, accesibilidad y disponibilidad.
  • Determinar los niveles de seguridad de los servicios.

Responsable de Seguridad

  • Mantener la seguridad de la informacion manejada y de los servicios prestados por los sistemas de informacion en su ambito de responsabilidad.
  • Promover la formacion y concienciacion en materia de seguridad de la informacion.

Responsable del Sistema

  • Desarrollar, operar y mantener el Sistema de Informacion durante todo su ciclo de vida, de sus especificaciones, instalacion y verificacion de su correcto funcionamiento.
  • Definir la topologia y sistema de gestion del Sistema de Informacion estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas especificas de seguridad se integren adecuadamente dentro del marco general de seguridad.

6.3 Procedimientos de designacion

Los responsables seran nombrados por el Comite de Seguridad de la Informacion. El nombramiento se revisara cada 2 anos o cuando un puesto quede vacante.

6.4 Revision de la Politica de seguridad de la informacion

Sera mision del Comite de Seguridad de la Informacion la revision anual de esta Politica de Seguridad de la Informacion y la propuesta de revision o mantenimiento de la misma. La politica sera aprobada por el Comite de Seguridad de la Informacion de GESTION Y FINANZAS 365 y difundida para que la conozcan todas las partes afectadas.

7 Datos de caracter personal

GESTION Y FINANZAS 365 trata datos de caracter personal. En el registro de actividades del tratamiento publicado en la web se describen los tratamientos de datos personales para dar cumplimiento al articulo 30 del RGPD. Ademas, cada tratamiento incluye un analisis de riesgos para detectar, mitigar o eliminar riesgos inherentes al tratamiento de datos personales.

8 Gestion de riesgos

Todos los sistemas sujetos a esta politica deberan realizar un analisis de riesgos, evaluando amenazas y riesgos a los que estan expuestos. Este analisis se repetira:

  • Regularmente, al menos una vez al ano.
  • Cuando cambie la informacion manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

9 Desarrollo de la politica de seguridad de la informacion

El proposito de esta Politica de la Seguridad de la Informacion es proteger la informacion y los servicios de GESTION Y FINANZAS 365.

Es objetivo de esta Institucion asegurar que:

  • La informacion y los servicios esten protegidos contra perdidas de disponibilidad, confidencialidad e integridad.
  • La informacion este protegida contra accesos no autorizados.
  • Se cumplan los requisitos legales aplicables.
  • Se cumplan los requisitos del servicio respecto a la seguridad de la informacion y los sistemas de informacion.
  • Las incidencias de seguridad sean comunicadas y tratadas apropiadamente.
  • Se establezcan procedimientos para cumplir con esta Politica.
  • El Responsable de Seguridad de la Informacion sea el encargado de mantener esta Politica, los procedimientos y de proporcionar apoyo en su implementacion.
  • El Responsable de Servicio sea el encargado de implementar esta Politica y sus correspondientes procedimientos.
  • Cada empleado sea responsable de cumplir esta Politica y sus procedimientos segun aplique a su puesto.
  • GESTION Y FINANZAS 365 implemente, mantenga y realice un seguimiento del cumplimiento de las normativas que aplican a este SGSI.

10 Obligaciones del personal

Todos los miembros de GESTION Y FINANZAS 365 tienen la obligacion de conocer y cumplir esta Politica de Seguridad de la Informacion y la Normativa de Seguridad, siendo responsabilidad del Comite de Seguridad de la Informacion disponer de los medios necesarios para que la informacion llegue a los afectados.

Todos los miembros de GESTION Y FINANZAS 365 atenderan a una sesion de concienciacion en materia de seguridad TIC al menos una vez al ano. Se establecera un programa de concienciacion continua para atender a todos los miembros de GESTION Y FINANZAS 365, en particular a los de nueva incorporacion.

Las personas con responsabilidad en el uso, operacion o administracion de sistemas TIC recibiran formacion para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formacion sera obligatoria antes de asumir una responsabilidad, tanto si es su primera asignacion o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

11 Terceras partes

Cuando GESTION Y FINANZAS 365 preste servicios a otros organismos o maneje informacion de otros organismos, se les hara participes de esta Politica de Seguridad de la Informacion, se estableceran canales para reporte y coordinacion de los respectivos Comites de Seguridad TIC y se estableceran procedimientos de actuacion para la reaccion ante incidentes de seguridad.

Cuando GESTION Y FINANZAS 365 utilice los servicios de tercero o ceda informacion a terceros, se les hara participes de esta Politica de Seguridad y de la Normativa de Seguridad que atane a dichos servicios o informacion. Dicha tercera parte quedara sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se estableceran procedimientos especificos de reporte y resolucion de incidencias. Se garantizara que el personal de terceros este adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta politica.

Cuando algun aspecto de la Politica no pueda ser satisfecho por una tercera parte segun se requiere en los parrafos anteriores, se requerira un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerira la aprobacion de este informe por los responsables de la informacion y los servicios afectados antes de seguir adelante.