Texto aprobado el día 4 de Febrero de 2025 por la Dirección General.
Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
Este documento expone la Política de Seguridad de la Información de las entidades Ivnosys Soluciones S.L.(Unipersonal). y de Signaturit Solutions S.L. (Unipersonal) las cuales pertenecen al “Grupo Signaturit” y que asumen como propia esta Política de Seguridad de la Información como el conjunto de principios básicos y líneas de actuación a los que ambas organizaciones se comprometen, en el marco de las Norma ISO/IEC 27001:2022 y Esquema Nacional de Seguridad (ENS). En adelante en el documento nos referiremos a ambas entidades como “la organización”.
La organización depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confi dencialidad de la información tratada o los servicios prestados.
La información es un activo crítico, esencial y de un gran valor para el desarrollo de la actividad de la organización . Este activo debe ser adecuadamente protegido, independientemente de los formatos, soportes, medios de transmisión, sistemas, o personas que intervengan en su conocimiento, procesado o tratamiento.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes, con la finalidad de asegurar la calidad de la información y la continuidad del negocio, minimizar el riesgo y permitir maximizar el retorno de las inversiones y las oportunidades de negocio.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad y la norma ISO/IEC 27001:2022 de Sistemas de Seguridad de la Información, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas a proveedores, y en las memorias técnicas para proyectos de TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 8 del ENS y el sistema de Continuidad de negocio de la norma ISO 22301.
Dicho artículo, dispone lo siguiente:
Artículo 8. Prevención, reacción y recuperación.
De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.
La dirección de la organización, consciente del valor de la información, está profundamente comprometida con la política descrita en este documento.
Los departamentos deben evitar, o al menos prevenir en la medida de la posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Adicionalmente, y con la intención clara de mejorar dicha prevención, los departamentos también deberán implementar todos los requisitos necesarios para dar cumplimento a la norma ISO/IEC 27001:2022. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimento de la política, los departamentos deben:
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo dispuesto en el
Artículo 10. Vigilancia continua y reevaluación periódica. que indica lo siguiente:
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
El artículo 9 establece:
Los departamentos deben:
Para cualquier tipo de comunicación, internas y/o externas, se deberá seguir lo indicado en el Plan de comunicaciones, publicado en el Sistema de Gestión de Grupo Signaturit (España) elaborado por la organización.
Para garantizar la disponibilidad de los servicios críticos, la organización se ha dotado de un Plan general de continuidad de negocio (PCN), publicado en el Sistema de Gestión, valorando los posibles escenarios de desastre y estrategia de recuperación, y estableciendo planes de emergencia que se revisan periódicamente.
La presente Política de Seguridad se aplica a los sistemas de información que soportan los procesos de instalación y operación de los siguientes servicios de confianza en modalidad cloud:
La Política de Seguridad de la Información es aprobada por la Dirección de la organización y su contenido y el de las normas y procedimientos que la desarrollan es de obligado cumplimiento:
Tal y como se ha avanzado, el propósito de esta Política de Seguridad de la Información es proteger los activos de información de Grupo Signaturit (España), asegurando para ello la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información y de las instalaciones, sistemas y recursos que los procesan, gestionan, transmiten y almacenan, siempre de acuerdo con los requerimientos del negocio y la legislación vigente.
La información debe ser protegida durante todo su ciclo de vida, desde su creación hasta su eventual borrado o destrucción. Para ello, se establecen los siguientes principios mínimos:
Signaturit Group (España) dispone de un procedimiento para la gestión y organización de las responsabilidades tanto internas como externas en el ámbito de la seguridad de la información, donde se determina el Comité del Sistema de Gestión, cuya misión principal es la aprobación, la supervisión del cumplimiento, la gestión y difusión de las normas y políticas de la organización, así como el seguimiento y gestión de los incidentes y riesgos presentes, en materia de seguridad de la información.
Las funciones del Comité del SG están recogidas en el Sistema de Gestión de la organización.
El Comité del SG se reúne al menos semestralmente y los miembros obligatorios que lo conforman son Dirección General, CTO, CISO, IT Manager y el responsable del Sistema de Gestión
Aunque no existe obligación de disponer en plantilla de un Delegado de Protección de Datos (DPO), de acuerdo con la normativa que dicta el RGPD, por voluntad propia y debido a los servicios que presta la organización, sí disponemos en plantilla de un DPO/Privacy Officer.
Además, podrán acudir a requerimiento del Comité cualesquiera otros responsables/roles cuya intervención sea precisa por ser afectados por el Esquema Nacional de Seguridad, por el RGPD o cualquier otra norma relacionada con la seguridad de la información, como son, entre otros, el responsable del servicio y el administrador de seguridad.
Debido a que la seguridad deberá comprometer a todos los miembros de la organización, tal como reflejan el artículo 11 del ENS y el Anexo II del ENS, en su sección 3.1, la Política de Seguridad debe identificar unos claros responsables para velar por su cumplimiento y darse a conocer a todos los miembros de la organización.
En el Sistema de Gestión de Grupo Signaturit (España) se dispone de una sección para identificar a las personas que ostentan los roles que conforman el Comité del SG y recoger sus funciones específicas. A continuación se detallan los roles definidos y sus responsabilidades:
Aprobar medidas y presupuestos.
Velar por el cumplimiento del sistema.
Demostrar liderazgo y compromiso con respecto al Sistema de Gestión de Seguridad de la Información.
Asegurar que se establece la política y los objetivos de seguridad de la información y que éstos son compatibles con la dirección estratégica de la organización.
Reunirse semestralmente, al menos, y cuando cualquier evento o solicitud extraordinaria lo demande, con los Responsables de Seguridad y del Sistema, para ser informado sobre el SGSI y actualizar la estrategia en materia de Seguridad de la Información.
Fomentar una cultura corporativa de seguridad de la información, promoviendo la concienciación.
Apoyar la mejora continua de los procesos y proyectos de seguridad de la información.
Asegurar que están disponibles los recursos para el cumplimiento de la Política de Seguridad de la Información, de las normas de uso de los sistemas y para el funcionamiento del SGSI.
Determinar las medidas, sean disciplinarias o de cualquier otro tipo, que pudieran aplicarse a los responsables de violaciones de seguridad.
Aprobar medidas y presupuestos.
Velar por el cumplimiento del sistema.
Demostrar liderazgo y compromiso con respecto al Sistema de Gestión de Seguridad de la Información.
Reunirse semestralmente, y cuando cualquier evento o solicitud extraordinaria lo demande, con, al menos, los Responsables de Seguridad y del Sistema, para ser informado sobre el SGSI y actualizar la estrategia en materia de Seguridad de la Información.
Fomentar una cultura corporativa de seguridad de la información, promoviendo la concienciación.
Apoyar la mejora continua de los procesos y proyectos de seguridad de la información.
Asegurar que están disponibles los recursos para el cumplimiento de la Política de Seguridad de la Información, de las normas de uso de los sistemas y para el funcionamiento del SGSI.
Definir el enfoque para el análisis y la gestión de los riesgos de seguridad de la información y los criterios para asumir los riesgos y asegurar la evaluación de los mismos al menos con una periodicidad anual.
Asegurar que se realizan auditorías internas de seguridad de la información y que se revisan sus resultados para identificar oportunidades de mejora.
Determinar las medidas, sean disciplinarias o de cualquier otro tipo, que pudieran aplicarse a los responsables de violaciones de seguridad.
Contactar con las Autoridades competentes en caso de incidentes o brechas de seguridad.
Implantar, desarrollar y mantener el Sistema de Gestión.
Coordinar la gestión de calidad, la seguridad de la información, los servicios y la continuidad de negocio en toda la empresa.
Definir y desarrollar un conjunto de procedimientos de gestión de calidad, seguridad, servicios y continuidad de negocio y los estándares que los soporten.
Ofrecer asesoramiento en todos los aspectos procedimentales de la gestión de calidad, la seguridad de la información, los servicios y la continuidad de negocio.
Identificar cualquier problema que influya en la calidad de los productos y del servicio.
Investigar todos los incidentes de seguridad que sucedan junto con el responsable de sistemas.
Iniciar acciones para prevenir y/o corregir las no conformidades y asegurarse de que se llevan a cabo estas acciones.
Asegurarse que se promueve la toma de conciencia de los requisitos del cliente en todos los niveles de la organización.
Conservar y revisar los procesos de Calidad, Seguridad de la Información, Servicios y Continuidad de negocio, los Procedimientos Documentados y las Instrucciones de Trabajo.
Elaborar en colaboración con el Responsable de Seguridad, la documentación de seguridad.
Informar a la alta dirección sobre el desempeño del sistema de gestión, del grado de consecución de los objetivos y cualquier necesidad de mejora.
Desarrollar los programas de concienciación y formación en gestión de la calidad y seguridad para los empleados de la empresa.
Monitorizar la efectividad de los controles implantados para garantizar la seguridad de la información
Proponer los planes de mejora y solicitar la aprobación de las inversiones que posiblemente conlleven.
Seguimiento del ciclo de vida de los sistemas: especificación, arquitectura, desarrollo, operación, cambios.
Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación a las normas ISO/IEC 27001:2022 y ENS), junto con el Responsable de Seguridad.
Realizar ejercicios y pruebas sobre los procedimientos operativos de seguridad y los planes de continuidad existentes.
Proporcionar soporte a:
Definir, desarrollar y supervisar el conjunto de procedimientos e instrucciones técnicas relacionados con la seguridad de la Información para dar soporte al sistema de gestión.
Conservar y revisar la documentación técnica relacionada con la Seguridad de la Información, los procedimientos documentados y las instrucciones de trabajo.
Supervisar el cumplimiento de la presente Política y de la configuración de seguridad de los sistemas.
Coordinar los procesos de gestión relacionados con la Seguridad de la Información, junto con el Responsable del SG.
Proporcionar asesoramiento en todos los aspectos técnicos de la gestión de la seguridad de la información.
Identificar cualquier problema que influya en la seguridad de los productos y del servicio.
Investigar todos los incidentes de seguridad que sucedan e informar al responsable del sistema de gestión.
Implementar las acciones técnicas correctivas y preventivas necesarias derivadas de las no conformidades.
Conservar y revisar la documentación técnica relacionada con la seguridad de la información, los procedimientos documentados y las instrucciones de trabajo.
Monitorizar la efectividad de los controles implantados para garantizar la seguridad de la información.
Firmar la Declaración de Aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema.
Establecer las medidas de seguridad, adecuadas y eficaces para cumplir los requisitos de seguridad establecidos por la Dirección, siguiendo en todo momento lo exigido en el Anexo II del ENS, declarando la aplicabilidad de dichas medidas y en la Norma ISO/IEC 27001:2022.
Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad.
Proponer mejoras al responsable del sistema de gestión.
Para el desarrollo de cualquiera de sus funciones el Responsable de Seguridad podrá recabar la colaboración del Responsable del Sistema.
Actuará como Punto de Contacto ante las Administraciones Públicas a las que Grupo Signaturit (España) preste servicios externalizados.
Establecer los requisitos del servicio en materia de seguridad, incluyendo los requisitos de interoperabilidad, accesibilidad y disponibilidad.
Determinar los niveles de seguridad del servicio, de acuerdo con el Responsable de Seguridad y el Responsable del Sistema.
Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad.
Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.
Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de defi ciencias graves de seguridad, previo acuerdo con el Responsable de
Seguridad y la Dirección
Adicionalmente, asumirá el rol de Responsable de la información: responsable último de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad (en materia de protección de datos) y de disponibilidad (en materia de seguridad de la información).
Velar por el buen uso de la información y, por tanto, de su protección.
Establecer los requisitos de la información en materia de seguridad.
Determinar los niveles de seguridad de la información tratada, valorando las consecuencias de un impacto negativo.
La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al Sistema de Información.
La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.
La aplicación de los procedimientos operativos de seguridad.
Asegurar que los controles de seguridad establecidos son cumplidos estrictamente, así como asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.
La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad de los sistemas de información.
Aplicar los cambios de configuración del sistema de información.
Asegurar que los controles de seguridad establecidos son cumplidos estrictamente, así como asegurar que son aplicados los procedimientos aprobados para manejar el sistema de información.
Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento sea ajustan a las autorizaciones pertinentes.
Informar y formar internamente en materia de protección de datos.
Asesorar en materia de protección de datos.
Supervisar el cumplimiento de la norma (RGPD).
Participar en todas las decisiones de la organización en materia de protección de datos.
Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD – «Evaluación de impacto relativa a la protección de datos».
Cooperar con la autoridad de control, en este caso, La Agencia Española de Protección de datos, previa coordinación con Dirección.
Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refi ere el artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.
Será misión del Comité del SG la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma.
La política será aprobada por la Dirección de la organización y, puesto que se trata de un documento de carácter público de acuerdo con la Política de clasificación de la información de Grupo Signaturit (España) (disponible en el Sistema de Gestión), será difundida por el Departamento de comunicaciones para que la conozcan todas las partes afectadas y puesta a disposición a terceros a través de la página web de la organización: www.signaturit.com
Además, se podrá revisar adicionalmente cuando se produzcan cambios signifi cativos que afecten a la seguridad, a los servicios que presta la organización, cambios normativos o cualquier otra cuestión de relevancia.
De acuerdo con lo dispuesto en la normativa de protección de datos aplicable (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales o RGPD y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) Ivnosys Soluciones SLU y de Signaturit Solutions sL en su condición de Responsable del Tratamiento o Corresponsables según proceda y de Encargado del Tratamiento de los datos de sus clientes se compromete a:
Del mismo modo en todo lo no recogido expresamente en esta Política Signaturit tiene el compromiso y el de todo el personal que la integra en el mas estricto cumplimiento de todas las disposiciones y principios establecidos en la normativa de protección de datos vigente actualmente, citada al comienzo del presente apartado, y aquellas normativa que la modifique o reemplace.
Signaturit, dispone de un sistema para la gestión de la seguridad de la información (SGSI) implantando las mejores prácticas para la gestión de la seguridad de la información conforme al estándar ISO/IEC 27001:2022 y aplicando a todos los tratamientos de datos que realice, en el marco de los contratos formalizados con los clientes, los controles y medidas tendentes a garantizar la seguridad de los datos de carácter personal, responsabilidad de los clientes, a los que tenga acceso con motivo del contrato.
La organización, garantiza que realizará los controles periódicos y las auditorías de seguridad necesarias para comprobar que los controles y medidas de seguridad implantados son efectivos para el tratamiento de riesgos para aquellos que se hayan implantado en cada caso.
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se realizará regularmente, al menos una vez al año. Además, se podrá repetir en los casos siguientes:
Para la armonización de los análisis de riesgos, el Comité del SG establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.
La metodología empleada para la valoración del riesgo es MAGERIT y permite gestionar de manera efectiva los incidentes que podrían presentarse en los diferentes activos de información y afectar a cualesquiera de los principios de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
El Comité del SG dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
Esta Política de Seguridad de la Información complementa las políticas de seguridad de Grupo Signaturit (España). en diferentes materias:
Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, y en particular de aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
Dicha normativa (procesos, procedimientos, instrucciones de trabajo y cualquier otra documentación necesaria) estará publicada en el Sistema de Gestión en Confluence, así como en la Wiki corporativa de Grupo Signaturit (España).
Todos los miembros de Grupo Signaturit (España), tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité del SG disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de Grupo Signaturit (España), en el marco del Plan anual de formación, atenderán a una sesión de concienciación en materia de seguridad TIC, al menos, una vez al año. Se establecerá un programa de concienciación continuo, basado en la difusión periódica de correos en materia de seguridad de la información, para atender a todos los miembros de Grupo Signaturit (España), en particular a los de nueva incorporación. Para este personal, además, se realizará una formación específi ca y evaluación de los conocimientos adquiridos, como parte del proceso de incorporación a la organización.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
Cuando Grupo Signaturit (España). preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la información, se establecerán canales para reporte y coordinación de los respectivos responsables y se establecerán procedimientos de actuación, de acuerdo con el Procedimiento de gestión de incidentes de la organización, para la reacción ante posibles incidentes de seguridad que pudieran producirse.
Cuando Grupo Signaturit (España). utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la presente normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política. Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se indica en los párrafos anteriores, el Responsable de Seguridad, junto con el responsable del servicio, se reunirán para definir y precisar los riesgos en que se incurre y la forma de tratarlos. Grupo Signaturit (España), se compromete a velar por el adecuado cumplimiento de las obligaciones legales establecidas contractualmente con sus proveedores mediante la elaboración de una Política de Cadena de Suministro y el control y supervisión del cumplimiento de la misma.
Aquellas terceras partes con o sin relación contractual con Grupo Signaturit (España), se abstendrán de realizar test de intrusiones, vulnerabilidades y/o cualquier tipo de accesos o intento de acceso a cualquiera de los sistemas de información de Grupo Signaturit (España) salvo el consentimiento previo y expreso, conforme a lo establecido a la normativa penal nacional e internacional.
Análisis de riesgos
Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
Datos de carácter personal
Cualquier información concerniente a personas físicas identificadas o identificables.
Gestión de incidentes
Plan de acción para atender a las incidencias que se den. Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas.
Gestión de riesgos
Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
Incidente de seguridad
Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información.
Información
Caso concreto de un cierto tipo de información.
Política de seguridad
Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que consideran críticos.
Responsable de información
Persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
Responsable de la seguridad
El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
Responsable del sistema
Persona que se encarga de la explotación del sistema de información.
Sistema de información
Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.