CONTROL DE MODIFICACIONES | ||
Revisión | Modificación | Fecha de vigencia |
1 | Edición inicial del documento | 25 de febrero de 2020 |
1.1 | Edición revisada del documento | 13 de abril de 2020 |
1.2 | Edición revisada del documento | 4 de junio de 2020 |
1.3 | Edición revisada del documento | 14 de abril de 2021 |
1.4 | Edición revisada del documento | 4 de julio de 2022 |
Elaborado por | Revisado y aprobado por | ||
---|---|---|---|
Cargo | Fecha | Cargo | Fecha |
Responsable de legal | 7 de febrero de 2020 | Comité de seguridad | 25 de febrero de 2020 |
Órgano de gobierno | 27 de marzo de 2020 | ||
Responsable de legal | 26 de marzo de 2020 | Comité de seguridad | 13 de abril de 2020 |
Responsable de legal | 27 de mayo de 2020 | Comité de seguridad | 4 de junio de 2020 |
Responsable de legal | 14 de abril de 2021 | Comité de seguridad | 14 de abril de 2021 |
Responsable de legal | 4 de julio de 2022 | Comité de seguridad | 4 de julio de 2022 |
ÍNDICE
1. | INTRODUCCIÓN | 3 |
2. | OBJETO | 3 |
3. | ALCANCE | 4 |
4. | GLOSARIO DE TÉRMINOS | 4 |
5. | CUERPO NORMATIVO APLICABLE A LAS ACTIVIDADES DE TRATAMIENTO | 5 |
6. | MISIÓN Y PLANIFICACIÓN DE LA ESTRATEGIA | 6 |
7. | RESPONSABILIDADES DE SEGURIDAD DE LA INFORMACIÓN | 7 |
8. | LIDERAZGO DEL ÓRGANO DE GOBIERNO | 8 |
9. | APROBACIÓN, REVISIÓN, VIGENCIA Y DIFUSIÓN | 8 |
Con la llegada de la Sociedad de la Información, las organizaciones están siendo condicionadas e impactadas a escala mundial por el avance exponencial de tecnologías disruptivas permitiendo llevar a cabo tratamientos sobre la información de forma instantánea y masiva generando una mejora sustancial para el desarrollo de sus actividades de negocio.
Por ello, las organizaciones son cada vez más conscientes del impacto reputacional, financiero y legal que conlleva el tratamiento de la información de manera irresponsable conforme las tecnologías se hacen dueñas de sus procesos de negocios críticos.
Fruto de esta circunstancia, se implementa la presente Política de seguridad (en adelante, “la Política de Seguridad de la Información”) para establecer las líneas generales aplicables en materia de Seguridad de la Información así como para responder al principio de Responsabilidad Proactiva recogido en la normativa europea de protección de datos, esto es, el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, (en adelante, “RGPD”) y su adecuación a la legislación española a través de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, individualmente “LOPDGDD” y conjuntamente “la legislación vigente en materia de protección de datos”) que establece la libertad para aplicar las medidas técnicas y organizativas convenientes y de obligado cumplimiento por el personal.
La política de Seguridad de la Información aplica a todos los procesos de negocio que forman parte de la empresa “HOCELOT TECHNOLOGIES SPAIN S.L.U” con NIF B87546164 (en adelante, “HOCELOT”) donde se trate cualquier activo de información tangible o intangible que tenga valor para HOCELOT, provenga de cualquier fuente de información tales como gubernamentales, interna, clientes, proveedores o compartida, sobre cualquier tipología como puede ser pública, privada, personal, financiera y sobre cualquier estado o forma como puede ser impresa, escrita, electrónica, publicada o eliminada.
SGSI: Son las siglas del Sistema de Gestión de la Seguridad de la Información (regulado por la Norma UNE-ISO/IEC 27001), que es un conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua.
AUTENTICIDAD: Propiedad de que una persona y o empresa que ha accedido y utilizado la información es lo que afirma ser.
CONFIDENCIALIDAD: Propiedad de la información de no ponerse a disposición o ser reveladas a personas y o empresas no autorizadas.
INTEGRIDAD: Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.
TRAZABILIDAD: Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a una persona y o empresa.
DISPONIBILIDAD: Propiedad de la información de estar accesible y utilizable en el momento que se requiera por la persona y o empresa autorizada.
ACTIVO: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización.
RIESGO: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.
AMENAZA: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.
ANÁLISIS DE RIESGOS: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
TRATAMIENTO DE RIESGOS: Proceso de modificar el riesgo, mediante la implementación de controles.
Hocelot se compromete con el cumplimiento de la legislación que resulta de aplicación a la organización y en particular con la siguiente:
RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
LSSI: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
UNE / ISO 27001: Norma internacional que establece los requisitos para el establecimiento, implementación y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI) para garantizar las tres dimensiones de la información; Disponibilidad, Confidencialidad e Integridad.
UNE / ISO 27002: Código de buenas prácticas para la implementación de los controles de seguridad de la información.
ISO 19011: Directrices para la auditoría de los sistemas de gestión. ISO 31000: Gestión del Riesgo – Principios y directrices.
La normativa europea en materia de protección de datos ha elevado el grado de responsabilidad de las empresas quedando reflejado en su régimen sancionador. Las empresas que realicen tratamientos de datos de manera recurrente pueden incurrir en infracciones que pueden llegar hasta el importe total de 20 millones de euros o un 4 % de su facturación anual del ejercicio anterior optándose por la mayor cuantía aplicable.
HOCELOT es una organización que desarrolla y presta sus servicios en la nube a través del análisis masivo de datos de carácter personal. Por ello, mediante la implantación de la política de Seguridad de la Información se pretende crear un SGSI que garantice la seguridad de los activos tangibles e intangibles de información con la finalidad de garantizar los más altos estándares en materia de seguridad de la información y de protección de datos.
La misión principal de la Dirección de HOCELOT se centra en garantizar un riesgo normativo, reputacional y financiero considerado aceptable, comprometiéndose a proveer de los recursos necesarios para el establecimiento, implantación y mejora del SGSI mediante la constitución de un Comité de Seguridad de la Información que tendrá las siguientes funciones:
- Supervisar con carácter recurrente la Política de Seguridad de la Información.
- Iniciar la realización de auditorías internas con la finalidad de cerciorar el cumplimiento de las obligaciones en materia de seguridad y de protección de datos que establezca la Política de Seguridad de la Información.
- Servir como foro y enlace entre los diferentes directivos responsables del cumplimiento de la Política de Seguridad de la Información.
- Evaluar y aprobar las iniciativas que conforman el SGSI en línea con los objetivos establecidos por la Dirección HOCELOT en la Política de Seguridad de la Información.
- Acordar las responsabilidades que asumirán los responsables del establecimiento, implantación y mejora del SGSI.
- Garantizar el compromiso de la Dirección de HOCELOT en relación con la seguridad de la información y en línea con la estrategia de negocio.
- Ejecutar tratamiento de riesgos con la finalidad de crear herramientas que permitan identificar potenciales amenazas al objeto de evaluar la implantación de controles que reduzcan su materialización.
- Desarrollar e implantar los controles, tanto técnicos como organizativos que resulten necesarios para garantizar la confidencialidad, integridad y disponibilidad.
- Garantizar el cumplimiento de la legislación vigente en materia de protección de datos de carácter personal y seguridad de la información.
- Generar una cultura de cumplimiento normativo y de seguridad con carácter interno aplicable a todo su personal y carácter externo aplicable a clientes y proveedores.
Así, de conformidad con los criterios generales establecidos en la ISO 27001 e IS0 27002, la estrategia se sustentará en base a la implantación de nuestras políticas de seguridad puestas a disposición de los empleados y de las partes interesadas.
El Comité de Seguridad de la Información compuesto por los responsables de las áreas claves que elaboran las políticas y procedimientos en HOCELOT tiene la función de revisar y aprobar la presente política.
A continuación se detallan las responsabilidades que asumirán:
- Responsable de Tecnología (CTO): es el encargado de garantizar que la estrategia de HOCELOT esté alineada con las Tecnologías de la Información.
- Responsable de Seguridad: es el encargado del establecimiento y control de las medidas de seguridad que se van a aplicar a los diferentes ficheros de datos.
- Responsable de la ingeniería de Datos (CDO): es el encargado de garantizar que la estrategia de HOCELOT esté alineada con el gobierno de los datos para implementar una eficaz explotación de los mismos.
- Responsable de Sistemas e infraestructura: es el encargado de garantizar el buen funcionamiento de las tecnologías empleadas en los sistemas que procesan los servicios de HOCELOT.
- Responsable de Desarrollo: es el encargado de analizar y dar la solución tecnológica para soluciones de negocio, desarrollando software de calidad.
- Responsable de Legal: es el encargado de supervisar y garantizar la legalidad aplicable a las Políticas y Procedimientos que gobiernan el SGSI.
- Responsable de Recursos Humanos: es el encargado de supervisar y garantizar que se cumple con la seguridad y los procedimientos antes, durante y después de la contratación.
- Responsable de la Administración de la oficina: encargado de supervisar y garantizar la seguridad física y del entorno de la oficina.
El Órgano de Gobierno de HOCELOT asumirá el máximo compromiso para garantizar la implantación, mantenimiento, mejora continua del sistema de gestión de la seguridad de la información así como el cumplimiento de los requisitos establecidos en la Política de Seguridad de la Información.
La Política de Seguridad de la Información ha sido aprobada por el Comité de Seguridad en la fecha indicada en el encabezamiento.
Posteriormente será ratificada mediante aprobación por el Órgano de Administración compuesto por un Administrador Único.
Las eventuales modificaciones de las directrices establecidas en la Política de Seguridad de la Información requerirán igualmente la aprobación por el Administrador Único de HOCELOT.
La Política de Seguridad de la Información se revisará con carácter anual para verificar su cumplimiento así como el grado de adecuación a la realidad normativa vigente y siempre que se requiera con motivo de la entrada en vigor de alguna norma que impacte en ella.
Será competencia del Comité de la Seguridad de la Información la revisión y mantenimiento de la vigencia de la presente Política.