OBJETIVOS DE LA ORGANIZACIÓN


Introducción

Para asegurar la Seguridad de la Información, es necesario establecer procedimientos que garanticen la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. Este documento sienta las bases para la gestión de la Seguridad de la Información de BECOMPLIANCE.


Alcance

Esta política se aplica a todos los sistemas TIC de BECOMPLIANCE y a todos los miembros de la organización, sin excepciones.


Misión

BECOMPLIANCE depende de los sistemas TIC para alcanzar sus objetivos de prestación de servicios de desarrollo de software y soluciones IT.

Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad o trazabilidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.


Para ello, la organización:

  1. Protegerá adecuadamente la confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de sus activos de información mediante la introducción de una serie de controles para gestionar los riesgos de seguridad relevantes.
  2. Priorizará la protección y salvaguarda de sus clientes y los datos de los clientes como una prioridad de negocio.
  3. Gestionará cualquier violación de la seguridad de la información de manera oportuna y responsable, e invertirá en estrategias adecuadas de detección, respuesta y remediación.
  4. Proporcionará los recursos adecuados a la organización para establecer, mantener y mejorar el entorno de seguridad según sea apropiado para el cambiante panorama de riesgos.
  5. Invertirá en las competencias del personal para llevar a cabo sus tareas y proporcionará al personal la capacitación y la conciencia adecuadas relevantes para su función y la información a la que tienen acceso.

MARCO LEGAL Y REGULATORIO


Datos de carácter personal

En el ámbito de los datos de carácter personal, aplica:

  1. REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)
  2. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Esquema Nacional de Seguridad

En el ámbito del Esquema Nacional de Seguridad, está política está integrada por las siguientes normas:

  1. Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, que desarrolla las leyes 39 y 40 de 2015.
  2. Instrucciones Técnicas del CCN (CCN-STIC).

ORGANIZACIÓN DE LA SEGURIDAD DEL SISTEMA


Comité

El Comité de Seguridad de la Información estará formado por:

  1. Responsable de Seguridad: Gonzalo Garzo
  2. Responsable de Sistemas (o Responsable de IT): Diego Hernández
  3. Responsable de la Información: Diego Hernández
  4. Responsable del Servicio: Diego Hernández

El Comité de Seguridad de la Información tendrá las siguientes funciones:

  1. Informar regularmente del estado de la seguridad de la información a la Alta Dirección.
  2. Promover la mejora continua del sistema de gestión de la seguridad de la información.
  3. Coordinar todas las funciones de seguridad de la organización.
  4. Aprobar la normativa de seguridad de la información.
  5. Velar por el alineamiento de las actividades de seguridad a los objetivos de la organización.
  6. Coordinar los Planes de Continuidad de las diferentes áreas, para asegurar una actuación sin fisuras en caso de que deban ser activados.
  7. Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones respecto de ellos.
  8. Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.
  9. Aprobar planes de mejora de la seguridad de la información de la Organización. En particular velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
  10. Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
  11. Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la Organización.

Roles

Se detallarán a continuación las funciones de los responsables de la organización:

Responsable de la Información

  1. Responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.
  2. Responsable último de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad (en materia de protección de datos) y de disponibilidad (en materia de seguridad de la información).
  3. Establecer los requisitos de la información en materia de seguridad.
  4. Determinar y aprobar los niveles de seguridad de la información.

Responsable del Servicio

  1. Establecer los requisitos del servicio en materia de seguridad.
  2. Determinar los niveles de seguridad de los servicios.

Responsable de la Seguridad

  1. Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la Política de Seguridad de la Información de la organización.
  2. Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

El responsable de la Seguridad será el secretario (o presidente) del Comité de Seguridad de la Información con las funciones indicadas en este documento.


Responsable del Sistema

  1. Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
  2. Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
  3. Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.
  4. Potestad para proponer la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.

Procedimiento de designación

El responsable de Seguridad de la Información es nombrado por el Comité de Seguridad de la Información. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.

Igualmente, el resto de los cargos indicados en el apartado anterior será designado por el Comité de Seguridad de la Información mediante acta de reunión.


Directrices de documentación de seguridad del sistema


Revisión y difusión de la Política

Será misión del Comité de Seguridad de la Información la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma.

La Política será aprobada por el Órgano de Gobierno y difundida para que la conozcan todas las partes afectadas.


Gestión y acceso

Miembros de Becompliance

  1. Todos los miembros de BECOMPLIANCE tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.
  2. Todos los miembros de BECOMPLIANCE atenderán a una sesión de concienciación en materia de seguridad de la información al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de BECOMPLIANCE en particular a los de nueva incorporación.
  3. Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
  4. El incumplimiento de la presente Política de Seguridad de la Información podrá acarrear el inicio de las medidas disciplinares que procedan, sin perjuicio de las responsabilidades legales correspondientes.

Terceras partes

  1. Cuando BECOMPLIANCE preste o utilice servicios de otras organizaciones públicas o privadas o maneje información de otras organizaciones públicas o privadas, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
  2. Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

Esta política de seguridad de la información ha sido actualizada en Julio de 2023