Mx-ca | Es
MENU
Política Corporativa de Gestión de la Seguridad de la Información, la Privacidad y la Continuidad de Negocio de VASS
1 Aprobación y entrada en vigor
El cumplimiento de esta Política de Seguridad de la Información, de Continuidad del Negocio y de Privacidad es obligatorio a partir del 1 de febrero de 2025, de forma indefinida, para todo el personal dentro del alcance.
Esta versión de la Política de Seguridad de la Información, Continuidad del Negocio y Privacidad es efectiva desde el 1 de febrero de 2025 y hasta que sea reemplazada por una nueva versión. Esta versión anula a la versión anterior, que fue aprobada el 01/04/2024 por el Comité de Gestión IT de VASS Consultoría de Sistemas SL.
2 Objeto
La Dirección de VASS Consultoría de Sistemas SL (en adelante VASS), dentro de la estrategia definida para el desarrollo del negocio, considera la seguridad de la información, la continuidad de negocio y la privacidad, aspectos fundamentales para garantizar la consecución de los objetivos de negocio y la adecuación a la legislación vigente. Por ello, se compromete a mantener un nivel de seguridad adecuado y alineado al negocio, en los procesos asociados a los servicios prestados por la organización, con objeto de ofrecer a sus clientes internos y externos las mayores garantías en cuando a la calidad de dichos servicios.
La dirección de VASS se compromete a gestionar y proteger su información y sus servicios de forma adecuada, así como garantizar la continuidad de su negocio mediante la implantación, mantenimiento y mejora de un Sistema Integrado de Gestión de Seguridad de la Información, la Continuidad del Negocio y la Privacidad (en adelante, SIG) aplicando los requisitos de las Normas UNE ISO/IEC 27001, UNE-ISO/IEC 27701, UNE-ISO/IEC 27018 y UNE-EN-ISO 22301 y de sus partes interesadas, del estándar TISAX® (Trusted Information Security Assessment Exchange) para los proyectos realizados para la industria de la automoción, todas ellas en sus versiones en vigor y dentro del marco regulatorio legal y vigente como el Real Decreto 3/2010, de 8 de enero que regula el Esquema Nacional de Seguridad (ENS) y su modificación por el Real Decreto 951/2015, de 23 de octubre.
El presente documento constituye la política de Seguridad de la Información, Continuidad del Negocio y Privacidad de VASS que establece las directrices y principios que regirán el modo en que VASS gestionará y protegerá su información y sus servicios a través de dicho SIG.
3 Términos y Definiciones
SIG: Sistema Integrado de Gestión de la Seguridad de la Información, Continuidad de Negocio y Privacidad. Conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y de continuidad de negocio y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua.
ENS: Esquema Nacional de Seguridad, regulado por el Real Decreto 3/2010, de 8 de enero y su modificación por el Real Decreto 951/2015, de 23 de octubre, siendo su aplicación en el ámbito de la administración electrónica del sector público. Su objeto es establecer la política de seguridad y crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
TISAX® (Trusted Information Security Assessment Exchange), estándar de seguridad definido por la Asociación Alemana de la Industria Automotriz (VDA), que recoge los requisitos fundamentales de la norma ISO 27001 seguridad de la información y los adapta a la industria automotriz.
Parte interesada: Persona o grupo que tiene un interés en el desempeño o éxito de la organización.
Autenticidad: Propiedad de que una persona y o empresa que ha accedido y utilizado la información es lo que afirma ser.
Confidencialidad: Propiedad de la información de no ponerse a disposición o ser reveladas a personas y o empresas no autorizadas.
Integridad: Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.
Trazabilidad: Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a una persona y o empresa.
Disponibilidad: Propiedad de la información de estar accesible y utilizable en el momento que se requiera por la persona y o empresa autorizada.
Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas...) que tenga valor para la organización.
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.
Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.
Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
Tratamiento de riesgos: Proceso de modificar el riesgo, mediante la implementación de controles.
4 Alcance
El alcance de esta política comprende a todo el personal perteneciente a la organización VASS, así como al personal subcontratado o los suministradores que están ubicados en las instalaciones de VASS, o que utilizan o se conectan a cualquier sistema perteneciente a VASS.
El alcance de esta política comprende el conjunto de Servicios que se definen en el Catálogo de Servicios y que se prestan por los departamentos o áreas de VASS, tanto al personal interno, como a clientes externos.
Alcance Tisax: “El Alcance comprende todos los procesos y recursos involucrados en los proyectos que están sujetos a requisitos de seguridad de los socios de la industria automotriz, así como en todos los procesos asociados a la finalización con éxito de dichos proyectos. Los procesos y recursos involucrados incluyen la recopilación de información, el almacenamiento de información y el procesamiento de información.”
5 Objetivos de la Política
VASS es una empresa proveedora de soluciones digitales cuya misión es ayudar a los clientes a transformar las oportunidades en negocio.
Para el cumplimiento de su Misión, la prestación de los Servicios y el cumplimiento de sus objetivos, VASS depende de sistemas TIC. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de la información tratada o los servicios prestados.
Con la implantación de un SIG bajo las Normas UNE ISO/IEC 27001, UNE-ISO/IEC 27701, UNE-ISO/IEC 27018, ISO 22301 y el estándar TISAX y todo ello integrado con el ENS, se fortalece la seguridad de los servicios, así como de la información y datos que incluyen dichos servicios y que son necesarios para su correcta y adecuada prestación, por la estrecha relación entre ambos y los elementos adicionales que mejoran notablemente la gestión de la seguridad que es necesaria para VASS, como parte del cumplimiento satisfactorio de su misión.
El objetivo de la seguridad de la información, continuidad del Negocio y la privacidad es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Dentro de este contexto, los objetivos de la presente Política del Sistema de Gestión de Seguridad de la Información, Continuidad del Negocio y Privacidad son:
- Garantizar los aspectos de confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de la información.
- Gestionar el riesgo de seguridad existente hasta los umbrales establecidos por la dirección, en base a la prestación del servicio a clientes.
- Implantar un SIG para gestionar y proteger la información y servicios que presta la compañía.
- Implantar un conjunto de medidas o controles de seguridad adecuados, determinadas por el ENS, el estándar TISAX y por Normas UNE ISO/IEC 27001, UNE-ISO/IEC 27701, UNE-ISO/IEC 27018 e ISO 22301, así como cualquier control adicional identificado, como parte del SIG para asegurar la protección ante amenazas que puedan incidir en la autenticidad, trazabilidad, confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. a través de la evaluación de amenazas y riesgos.
- Nombrar un responsable del SIG, encargado de gestionar el sistema y velar por el desarrollo, mantenimiento y mejora del mismo.
- Nombrar un Responsable de Seguridad y asegurar que dispone de los recursos necesarios para llevar a cabo los controles de seguridad de la información necesarios.
- Establecer una metodología de revisión, auditoría y mejora continua del SIG, siguiendo un ciclo PDCA que garantice el mantenimiento continuo de los niveles de seguridad deseados.
- Establecer periódicamente un conjunto de objetivos e indicadores en materia de gestión de seguridad de la información, continuidad del negocio y privacidad, que permitan a la dirección llevar a cabo un adecuado seguimiento del nivel de seguridad y cumplimiento de los objetivos.
- Garantizar que el personal de la organización dentro del alcance dispone del suficiente conocimiento sobre las políticas y los controles de seguridad de la información.
- Asegurar que los incidentes de seguridad de la información son correctamente identificados, gestionados y resueltos.
- Cumplir con todos los requisitos legales, normativos, reglamentarios aplicables y obligaciones contractuales.
- Asegurar la continuidad de los procesos de negocio incluidos dentro del alcance.
6 Marco Normativo
VASS se esfuerza en cumplir con toda la legislación aplicable a su actividad, ya sea de carácter general o específico. Por todo ello, VASS podrá ser requerida por los órganos administrativos pertinentes a proporcionar los registros electrónicos o cualquier otra información relativa al uso de los sistemas de información.
Todo el Sistema de Gestión y sus políticas cumplen con los requisitos de las Normas ISO 27001, UNE-ISO/IEC 27701, UNE-ISO/IEC 27018 y 22301, así como con los del estándar TISAX.
Esta política se sitúa dentro del marco jurídico definido por las leyes y Reales Decretos siguientes:
- Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
- Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
- Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
- Real Decreto 13/2012, de 30 de marzo, por el que se modifica el texto correspondiente al apartado segundo del artículo 22 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (o LSSI).
VASS trata datos de carácter personal que se encuentran incorporados en los ficheros correspondientes, junto con los responsables correspondientes, en el documento de seguridad de tratamiento de datos de carácter personal, al que tendrán acceso sólo las personas autorizadas. Todos los sistemas de información de VASS se ajustarán a los niveles de seguridad requeridos por la normativa relacionada:
- Reglamento Europeo de Protección de Datos 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, "RGPD").
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) que adapta el ordenamiento jurídico español al RGPD.
Por último, al comprometerse VASS a establecer un SIG basado en el ENS, dicha regulación también le es de aplicabilidad:
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
La implantación de dichas leyes y decretos se completa en los documentos del sistema.
Además, se dispone de un procedimiento regulatorio de acciones disciplinarias que conoce todo empleado de VASS.
7 SIG
La Dirección de VASS se compromete a destinar los recursos y medios necesarios para establecer, implantar, mantener y mejorar el SIG y los controles de seguridad necesarios, manteniendo un adecuado balance entre coste y beneficio, así como a demostrar liderazgo y compromiso respecto a este.
7.1 Objetivos de Seguridad de la Información, Continuidad de Negocio y Privacidad y su Planificación
Los objetivos de seguridad de la Información, continuidad del negocio y privacidad se establecerán en las funciones y niveles pertinentes, enfocados a la mejora y utilizando como marco de referencia:
- Cambios en las necesidades de las partes interesadas que lleven a una mejora del alcance del sistema.
- Requisitos de seguridad de la información, continuidad del negocio y privacidad aplicables y los resultados de la apreciación y del tratamiento de los riesgos para garantizar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información.
- Factores internos y externos.
- La mejora de la eficacia de la formación y concienciación del personal que trabaja en la entidad y afecta a su desempeño en seguridad de la información, continuidad del negocio y privacidad.
Así mismo, la planificación para la consecución de los objetivos de seguridad de la Información, continuidad del Negocio y privacidad establecidos se realizará considerando las acciones a realizar y su responsable, los recursos y plazos necesarios y los indicadores para evaluar el resultado/cumplimiento.
7.2 Establecimiento, despliegue y mejora del SIG
El establecimiento y despliegue del SIG de VASS se iniciará a partir del Análisis de Riesgos, que permitirá determinar el nivel de riesgo de la seguridad de la información, la continuidad del negocio y la privacidad en que se encuentra VASS e identificar los controles de seguridad necesarios para el tratamiento del riesgo y llevarlo a un nivel aceptable, así como las oportunidades de mejora, considerando las cuestiones internas y externas y los requisitos de las partes interesadas.
Los controles de seguridad deberán implantarse, mantenerse y mejorarse continuamente, y estar disponibles como información documentada, mediante procedimientos, normativas, instrucciones técnicas, y cualquier otra documentación que así se considere, revisados y aprobados por el Comité de Gestión IT de la Información.
Se deberá comunicar la información documentada de los controles de seguridad al personal que trabaja en VASS (empleados y proveedores), que tendrá la obligación de aplicarla en la realización de sus actividades laborales, comprometiéndose de ese modo, al cumplimiento de los requisitos del SIG.
7.3 Evaluación
Se realizarán auditorías periódicamente que revisen y verifiquen el cumplimiento del SIG con los requisitos de las Normas ISO/IEC 27001, UNE-ISO/IEC 27701, UNE-ISO/IEC 27018 e ISO 22301, el estándar TISAX y dentro del marco regulatorio del ENS, por lo que, en caso necesario, el personal afectado por el alcance deberá colaborar en estas, así como en la aplicación de las acciones correctivas que se deriven para el mejoramiento continuo. Se definirán criterios de cualificación para las personas que realicen dichas auditorías.
8 Organización de la Seguridad
8.1 Comités: Funciones y Responsabilidades
Con objeto de garantizar el cumplimiento de los intereses de la Dirección y asegurar una correcta gestión de la seguridad de la Información, la continuidad del negocio y la privacidad se ha constituido el Comité de Gestión IT que responde a la Dirección General y está coordinado por un miembro del Comité de Dirección.
El Comité de Gestión IT es el órgano con mayor responsabilidad dentro del sistema de gestión de Seguridad de la Información, Continuidad del Negocio y Privacidad, de forma que todas las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité. Es un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones y que no tiene que subordinar su actividad a ningún otro elemento de VASS.
Las competencias del Comité de Gestión IT y los miembros que forman parte de él se encuentran detallados en el acta de constitución del Comité.
8.2 Roles: Funciones y Responsabilidades
Los diferentes roles serán nombrados por el Comité de Dirección y se tendrán en consideración los criterios de representación indicados, la idoneidad del personal a designar, así como la predisposición de los candidatos para ejercer las funciones que les correspondan. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.
Los roles establecidos en la organización relacionados con la Seguridad de la Información, la Continuidad del Negocio y la Privacidad, se describen en los correspondientes documentos del SIG.
8.3 Resolución de Conflictos.
En caso de conflicto entre los diferentes responsables de la VASS, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Comité de Gestión IT, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
9 Gestión de Riesgos de Seguridad
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
- regularmente, al menos una vez al año
- cuando cambie la información manejada o los servicios prestados
- cuando ocurra un incidente grave de seguridad
- cuando se reporten vulnerabilidades graves
Para la armonización de los análisis de riesgos, el Comité de Gestión IT establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. Los criterios de evaluación de riesgos detallados se especificarán en la metodología de evaluación de riesgos que elaborará VASS, basándose en estándares y buenas prácticas reconocidas.
El análisis de riesgos será la base para determinar las medidas de seguridad que se deben adoptar además de los requerido como mínimo por las Normas UNE ISO/IEC 27001, UNE-ISO/IEC 27701, UNE-ISO/IEC 27018 e ISO 22301, el estándar TISAX y el ENS. Aquellos controles que no sean de aplicación obligada por motivos legales, normativos o de negocio se aplicarán en base a la gestión de riesgos de la organización y los umbrales definidos y aprobados por el Comité de Gestión IT.
El Responsable de Seguridad realizará el análisis de los riesgos, así como el plan de tratamiento de los mismos, para generar el documento de aplicabilidad de los controles y medidas de seguridad. El Comité de Gestión IT aprobará el análisis y tratamiento de los riesgos, así como la declaración de aplicabilidad. Deberán tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los servicios o el cumplimiento de la misión de la organización de forma grave.
Los riesgos residuales esperados sobre cada Información o Servicio tras la implementación de las medidas de seguridad previstas serán determinados por el Responsable de Seguridad y presentados al Comité de Gestión IT, para que éste proceda, en su caso, a evaluar, aprobar o rectificar las opciones de tratamiento propuestas. Dichos riesgos residuales deberán ser aceptados previamente por los responsables correspondientes.
10 Incidencias de seguridad
10.1 Detección
Los departamentos de VASS deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad.
10.2 Prevención
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una disminución hasta el cese del nivel de prestación, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.
10.3 Respuesta
Se establecerán mecanismos de detección, análisis y reporte para que se puedan informar a los responsables tanto regularmente como cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.
10.4 Recuperación
Para garantizar la disponibilidad de los servicios críticos, se desarrollarán planes de continuidad de los sistemas como parte de su plan general de continuidad de negocio y actividades de recuperación.
11 Concienciación y Formación
Se establecerá un Plan de Formación y Concienciación en materia de Seguridad de la Información, Continuidad del Negocio y Privacidad, general para toda la organización y especifico, cuando sea necesario en los requisitos del estándar TISAX para el personal que participe en proyectos del sector de la automoción, de forma que ayude a todo el personal implicado a conocer y cumplir las actividades de gestión definidas, y a participar de manera activa a asegurar la seguridad de la organización.
12 Desarrollo de la Política
Esta Política de Seguridad de la Información, Continuidad del Negocio y Privacidad complementa otras políticas de VASS como, por ejemplo, las existentes en materia de Calidad y Medio Ambiente.
La Política se desarrollará por medio de unas políticas, normativas o procedimientos detallados que afronten aspectos específicos de seguridad de la información, continuidad del negocio y privacidad en general y con los ficheros y tratamientos automatizados que contengan datos de carácter personal. Dicha documentación detallada estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
La Política de Seguridad se desarrollará aplicando los siguientes principios mínimos:
- Organización e implantación del proceso de seguridad de la información, privacidad y continuidad de negocio.
- Análisis y gestión de los riesgos.
- Gestión de personal.
- Profesionalidad.
- Autorización y control de los accesos.
- Protección de las instalaciones.
- Adquisición de productos de seguridad y contratación de servicios de seguridad
- Mínimo privilegio.
- Integridad y actualización del sistema.
- Protección de la información almacenada y en tránsito.
- Prevención ante otros sistemas de información interconectados.
- Registro de actividad.
- Incidentes de seguridad.
- Continuidad de la actividad.
- Mejora continua del proceso de seguridad.
La documentación de seguridad estará disponible en la Intranet de VASS.
13 Obligaciones del Personal
Los gerentes de los departamentos de VASS incluidos dentro del alcance de esta política serán los responsables de asegurar su cumplimiento de dichas políticas dentro de sus departamentos.
Todos los trabajadores de VASS tienen la obligación de conocer esta Política de Seguridad de la Información, Continuidad del Negocio y Privacidad y la Normativa de Seguridad que la desarrolla, que son de obligado cumplimiento dentro del alcance identificado, siendo responsabilidad del Comité de Gestión IT disponer los medios necesarios para que la información llegue a los afectados.
Todo personal contratado deberá recibir y firmar un compromiso de cumplimiento de la política y de la normativa de seguridad, y deberá recibir formación o concienciación relativa a la seguridad de la Información, continuidad del negocio y privacidad en función de cuál sea su puesto de trabajo.
14 Terceras Partes
Cuando VASS preste servicios a otras organizaciones o maneje información de otras organizaciones, se les hará partícipes de esta Política de Seguridad de la Información, Continuidad del Negocio y Privacidad, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando VASS utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información, privacidad y continuidad de negocio, al menos al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
15 Publicación
La presente Política de Gestión de Seguridad de la Información, Continuidad del Negocio y Privacidad, aprobada por el Comité de Gestión IT, es conocida y suscrita por todo el personal de la organización, así como los proveedores o las terceras partes que interactúen con la organización, conforme a las exigencias de la Dirección. Tras cada revisión, la política será nuevamente publicada y comunicada al personal dentro del alcance.
La política de seguridad estará disponible en la Intranet de VASS.
16 Revisión
Esta Política de Seguridad de la Información, Continuidad del Negocio y Privacidad será revisada, como mínimo, anualmente, o cada vez que se produzcan cambios importantes organizativos o en la infraestructura.
Será misión del Comité de Gestión IT la revisión de esta Política y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por el Comité de Dirección y difundida para que la conozcan todas las partes afectadas.