POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ENS

Fecha de Última Actualización: 05/04/2024

TWIM, como empresa dedicada a la actividad de consultoría empresarial, especializada en tecnología, telecomunicaciones, marketing, económica y financiera, asume su compromiso con la seguridad de la información, comprometiéndose a la adecuada gestión de la misma, con el fin de ofrecer a todos sus grupos de interés las mayores garantías en torno a la información utilizada.

Por todo lo anteriormente expuesto, la Dirección establece los siguientes objetivos de seguridad de la información:

  • Proporcionar un marco para aumentar la capacidad de resistencia y resiliencia para dar una respuesta eficaz ante situaciones críticas de seguridad.
  • Asegurar la recuperación rápida y eficiente de los servicios, frente a cualquier desastre físico o contingencia que pudiera ocurrir y que pusiera en riesgo la continuidad de las operaciones.
  • Prevenir incidentes de seguridad de la información en la medida que sea técnica y económicamente viable, así como mitigar los riesgos de seguridad de la información generados por sus actividades.
  • Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

Para poder lograr estos objetivos es necesario:

  • Mejorar continuamente su Sistema de Seguridad de la Información.
  • Cumplir con requisitos legales aplicables y con cualquier otro requisito al que se suscriba, además de los compromisos adquiridos con los clientes, así como la actualización continua de los mismos.

El marco legal y regulatorio en el que desarrolla sus actividades es:

  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
  • Real Decreto-ley 2/2018, de 13 de abril, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual.
  • Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad modificado por el Real Decreto 951/2015, de 23 de octubre.
  • REGLAMENTO (UE) 910:2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento Europeo eIDAS).
  • Prevención de Riesgos Laborales Ley 31/1995 de 8 de noviembre y Real Decreto 39/1997 de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).
  • RD-ley 13/2012 de 30 de marzo, ley de cookies.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
  • Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
  • Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
  • Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
  • Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad

La finalidad de la aplicación de las políticas relacionadas con la Seguridad de la Información consiste en:

  • Identificar las amenazas potenciales, así como el impacto en las operaciones de negocio que dichas amenazas, caso de materializarse, puedan causar.
  • Preservar los intereses de sus principales partes interesadas (clientes, accionistas, empleados, colaboradores externos y proveedores), la reputación, la marca y las actividades de creación de valor.
  • Trabajar de forma conjunta con sus suministradores y subcontratistas con el fin de mejorar la prestación de los servicios, la continuidad de los servicios y la seguridad de la información, que repercutan en una mayor eficiencia de su actividad.
  • Evaluar y garantizar la competencia técnica del personal, así como asegurar la motivación adecuada de éste para su participación en la mejora continua de nuestros procesos, proporcionando la formación y la comunicación interna adecuada para que desarrollen las buenas prácticas definidas en el sistema.
  • Garantizar el correcto estado de las instalaciones y el equipamiento adecuado, de forma tal que estén en correspondencia con la actividad, objetivos y metas de la empresa.
  • Garantizar un análisis de manera continua de todos los procesos relevantes, estableciéndose las mejoras pertinentes en cada caso, en función de los resultados obtenidos y de los objetivos establecidos.
  • Estructurar su Sistema de Seguridad de la Información de forma que sea fácil comprender.

El Sistema de Seguridad de la Información de TWIM tiene la siguiente estructura:

La gestión del Sistema de Seguridad de la Información se encomienda al Responsable del Sistema y está disponible en un repositorio al cual se puede acceder a través de los perfiles de acceso concedidos según nuestro procedimiento en vigor de gestión de accesos.

Estos principios son asumidos por la Dirección, que dispone de los medios necesarios y dota a sus empleados y colaboradores externos de los recursos suficientes para su cumplimiento, plasmandose y poniéndolos en público conocimiento a través de la presente POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ENS.

Los roles definidos en TWIM son:

FUNCIÓNDEBERES Y RESPONSABILIDADES
Responsable de la Información● Persona que tiene la potestad de establecer los requisitos de la información en materia de seguridad.

●  El Responsable de la Información es habitualmente una persona que ocupa un alto cargo en la dirección de la organización. Este cargo tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.

●  El Responsable de la Información es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad. El ENS asigna al Responsable de la Información la potestad de establecer los requisitos de la información en materia de seguridad, o, en terminología del ENS, la potestad de determinar los niveles de seguridad de la información.

●  El Responsable de la Información puede ser una persona concreta o puede ser un órgano corporativo, que revestirá la forma de órgano colegiado de acuerdo con la normativa administrativa. Ver Comités. Aunque la aprobación formal de los niveles de seguridad corresponda al Responsable de la Información, éste puede recibir propuestas y opiniones del Responsable de Seguridad y del Responsable del Sistema.

●  La determinación de los niveles de seguridad en cada dimensión debe realizarse dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad. Se recomienda que los criterios de valoración estén respaldados por la Política de Seguridad en la medida en que sean sistemáticos, sin perjuicio de que puedan darse criterios particulares en casos singulares.

Responsable del Sistema		● Persona que se encarga de la explotación del Sistema de Seguridad de la Información.

●  El ENS asigna al Responsable del Sistema la potestad de establecer los requisitos del sistema en materia de seguridad, o, en terminología del ENS, la potestad de determinar los niveles de seguridad de los sistemas de información.

●  Desarrollar, operar y mantener el Sistema de Seguridad de la Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.

●  Definir la topología y del Sistema de Seguridad de la Información estableciendo los criterios de uso y los servicios disponibles en el mismo.

●  Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.

●  El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada 

Responsable del Servicio		●  El ENS asigna al Responsable del Servicio la potestad de establecer los requisitos del servicio en materia de seguridad o, en terminología del ENS, la potestad de determinar los niveles de seguridad de los servicios.

●  La prestación de un servicio siempre debe atender a los requisitos de seguridad de la información que maneja.

●  Desarrollar, operar y mantener el Servicio de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.

●  Definir la topología y sistema de gestión del Servicio estableciendo los criterios de uso y los servicios disponibles en el mismo.

●  El Responsable del Servicio puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada.

Responsable de la Seguridad		●  Implantación, desarrollo y mantenimiento del sistema.

●  Coordinar la gestión de la seguridad de la información en toda la
empresa.

●  Definir y desarrollar un conjunto de procedimientos de seguridad y estándares que los soporten.

●  Ofrecer asesoramiento en todos los aspectos de la gestión de la seguridad de la información.

●  Identificar cualquier problema que influya en la Seguridad de los productos y del servicio.

●  Investigar todos los incidentes de seguridad que sucedan.

●  Iniciar acciones para prevenir y/o corregir las no conformidades relativas a la seguridad de la información y asegurarse de que se llevan a cabo estas acciones.

●  Asegurarse que se promueve la toma de conciencia de los requisitos del cliente en cuanto a seguridad de la información en todos los niveles de la organización.

●  Conservar y revisar el Manual de Seguridad de la Información, los Procedimientos Documentados y las Instrucciones de Trabajo.

●  Informar a la Dirección sobre el desempeño del Sistema de Seguridad de la Información y cualquier necesidad de mejora.

●  Desarrollar los programas de concienciación y formación en la Seguridad para los empleados y colaboradores externos de la empresa.

●  Monitorizar la efectividad de los controles implantados para garantizar la seguridad de la información.

●  Propondrá los Planes de Mejora y solicitará la aprobación de las inversiones que posiblemente conlleven.

Dirección		●  Proporcionar los recursos necesarios para el sistema

●  Liderar el sistema

Esta definición se completa en los perfiles del puesto y en los documentos del sistema.

El procedimiento para su designación y renovación será la ratificación en el Comité de Seguridad de la Información.

El Comité de Seguridad de la Información es el órgano con mayor responsabilidad dentro del Sistema de Seguridad de la Información, de forma que todas las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité.

Los miembros del Comité de Seguridad de la Información son:

  • Responsable de la Información
  • Responsable del Sistema
  • Responsable de Servicio
  • Responsable de Seguridad
  • Responsable de Protección de datos

Estos miembros son designados por el Comité de Seguridad de la Información, único órgano que puede nombrarlos, renovarlos y cesarlos.

El Comité de Seguridad de la Información es un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones y que no tiene que subordinar su actividad a ningún otro elemento de la empresa.

Está política se complementa con el resto de las políticas, procedimientos y documentos en vigor para desarrollar nuestro Sistema de Seguridad de la Información.