Política de Seguridad de la Información

Control de versiones:

Identificación
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Revisión: 1
Ámbito: TECNOPREVEN S.L. Estado: Aprobada
Registro de Cambios
Revisión Cambio Apartado Fecha
0 Elaboración del documento inicial Todos 20/02/2025
1 Actualización del documento inicial Todos 29/07/2025

Aprobado por: Comité de Seguridad
Fecha de aprobación: 29-07-2025

  1. APROBACIÓN Y ENTRADA EN VIGOR
  2. INTRODUCCIÓN
  3. ALCANCE
  4. MISIÓN
  5. PRINCIPIOS RECTORES DE LA POLÍTICA
  6. MARCO NORMATIVO
  7. ORGANIZACIÓN DE LA SEGURIDAD
    1. COMITÉS: FUNCIONES Y RESPONSABILIDADES
    2. ROLES: FUNCIONES Y RESPONSABILIDADES
    3. PROCEDIMIENTOS DE DESIGNACIÓN
    4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
  8. TRATAMIENTO DE DATOS PERSONALES EN LA ENTIDAD
  9. GESTIÓN DE RIESGOS
  10. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
  11. OBLIGACIONES DEL PERSONAL
  12. TERCERAS PARTES
  13. GESTIÓN DE INCIDENTES
  14. APROBACIÓN DE LA POLÍTICA Y ENTRADA EN VIGOR

1. APROBACIÓN Y ENTRADA EN VIGOR

Texto aprobado por la Gerencia de TECNOPREVEN S.L., el día 29 de Julio de 2025, y entra en vigor a partir de dicha fecha. Esta Política de Seguridad permanecerá vigente hasta que sea reemplazada por una nueva versión aprobada formalmente.

La entrada en vigor de esta Política deroga cualquier versión anterior existente en cualquier nivel de la organización.

Cualquier modificación sustancial de esta Política deberá ser aprobada nuevamente por el órgano competente y comunicada adecuadamente a las partes afectadas.

2. INTRODUCCIÓN

TECNOPREVEN S.L. depende de los sistemas de información para alcanzar sus objetivos estratégicos y operativos. Estos sistemas deben ser gestionados con diligencia, implementando medidas adecuadas y proporcionales al riesgo, para protegerlos frente a daños accidentales o deliberados que puedan comprometer la confidencialidad, integridad, autenticidad, trazabilidad o disponibilidad de la información tratada, así como la continuidad de los servicios prestados.

El objetivo principal de la seguridad de la información en TECNOPREVEN S.L. es garantizar la capacidad de la organización para cumplir con sus objetivos, desarrollar sus funciones, y prestar los servicios para los que ha sido constituida. Esto implica proteger la calidad de la información y asegurar la prestación continuada de los servicios mediante la prevención de incidentes, la supervisión de la actividad diaria y una respuesta ágil y eficaz ante posibles amenazas o eventos de seguridad.

Los sistemas TIC de TECNOPREVEN S.L. deben estar protegidos frente a amenazas en constante evolución que puedan afectar a la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para lograrlo, la organización implementará una estrategia de seguridad adaptable a los cambios en el entorno, garantizando la prestación continua de los servicios. Esto incluye la aplicación de las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (ENS), el seguimiento continuo de los niveles de prestación de servicios, el análisis de vulnerabilidades reportadas y la preparación de una respuesta efectiva frente a los incidentes de seguridad.

TECNOPREVEN S.L. integrará la seguridad de la información en todas las etapas del ciclo de vida de los sistemas, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo, adquisición y explotación. Los requisitos de seguridad, así como las necesidades de financiación, serán identificados e incorporados en la planificación, en las solicitudes de ofertas y en los pliegos de licitación de proyectos que afecten a los sistemas de información o impliquen el tratamiento de datos personales.

3. ALCANCE

Esta Política de Seguridad de la Información se aplica a todos los sistemas de información gestionados o utilizados por TECNOPREVEN S.L., así como a todas las personas que forman parte de la organización, independientemente de su nivel jerárquico o relación contractual.

Asimismo, será de aplicación a los prestadores de servicios, colaboradores externos y proveedores de soluciones TIC que interactúen con los sistemas de información de TECNOPREVEN S.L., quienes estarán obligados a cumplir con los principios y requisitos establecidos en esta política y en la normativa de seguridad aplicable.

4. MISIÓN

TECNOPREVEN S.L. define esta Política de Seguridad de la Información como un marco obligatorio para todos los empleados, colaboradores y empresas externas que trabajen con la organización. Su objetivo principal es garantizar la seguridad de la información y la prestación continuada de los servicios que proporciona, actuando preventivamente, supervisando la actividad diaria y respondiendo con rapidez y eficacia ante cualquier incidente que pueda comprometer la seguridad.

Esta política establece las bases para que el acceso, uso, custodia y salvaguarda de los activos de información de TECNOPREVEN S.L. se realicen bajo estrictas garantías de seguridad, protegiendo sus diferentes dimensiones:

  • Disponibilidad: Asegurar que los activos estén accesibles para las entidades o procesos autorizados cuando así se requiera.

  • Integridad: Garantizar que los activos de información no sean alterados de forma no autorizada.

  • Confidencialidad: Proteger la información para que no se ponga a disposición ni se revele a personas, entidades o procesos no autorizados.

  • Autenticidad: Verificar que una entidad sea quien dice ser y garantizar la fuente de los datos.

  • Trazabilidad: Asegurar que las acciones realizadas sobre los activos puedan ser imputadas exclusivamente a las entidades responsables.

Los objetivos en materia de seguridad que TECNOPREVEN S.L. pretende garantizar con la presente política son:

  1. Garantizar la confidencialidad, integridad, autenticidad y trazabilidad de la información y la continuidad de los servicios.

  2. Implementar medidas de seguridad basadas en procesos de análisis y gestión de riesgos, asegurando que sean proporcionales a los riesgos identificados.

  3. Desarrollar, mantener y probar los planes de contingencia y continuidad de la actividad para los servicios ofrecidos por la organización.

  4. Gestionar eficientemente los incidentes de seguridad, asegurando su correcta detección, contención, mitigación y resolución, adoptando medidas para evitar su repetición.

  5. Desplegar y controlar la seguridad física para garantizar que los activos de información estén en áreas seguras, protegidos mediante controles de acceso ajustados a los riesgos identificados.

  6. Proteger las comunicaciones de la organización, asegurando que la información transmitida a través de las redes esté adecuadamente protegida mediante protocolos y procedimientos definidos.

  7. Controlar la adquisición, desarrollo y mantenimiento de los sistemas de información durante todo su ciclo de vida, asegurando su seguridad por defecto y desde el diseño.

  8. Promover la formación y concienciación de todos los miembros de la organización sobre la seguridad de la información, fomentando las buenas prácticas y el estricto cumplimiento del deber de confidencialidad.

  9. Garantizar el cumplimiento de la normativa legal y regulatoria vigente, incluyendo el Esquema Nacional de Seguridad y la legislación en materia de protección de datos.

  10. Supervisar y evaluar continuamente el sistema de gestión de seguridad de la información, identificando y corrigiendo ineficiencias para fomentar una mejora continua.

5. PRINCIPIOS RECTORES DE LA POLÍTICA

La Política de Seguridad de la Información de TECNOPREVEN S.L. se sustenta en los siguientes principios rectores, que guían la gestión y protección de los sistemas de información de la organización:

1. Alcance estratégico

La seguridad de la información cuenta con el compromiso y apoyo de todos los niveles de TECNOPREVEN S.L., desde la gerencia hasta los empleados y colaboradores externos. Este compromiso asegura que la seguridad se coordine e integre de manera coherente con las iniciativas estratégicas de la organización, alineándose con sus objetivos de negocio.

2. Seguridad integral

La seguridad de la información se concibe como un proceso integral que abarca todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información. Se evita cualquier actuación puntual o coyuntural, asegurando que la seguridad forme parte de la operativa habitual de la organización y se aplique desde el diseño inicial de los sistemas TIC.

3. Gestión de la seguridad basada en el riesgo

La gestión de la seguridad de la información se basa en la identificación y evaluación de riesgos asociados a los activos y servicios. Las medidas de seguridad se adoptan de forma proporcional al nivel de riesgo identificado, minimizando los riesgos hasta niveles aceptables y garantizando su justificación. Adicionalmente, se consideran los riesgos relacionados con el tratamiento de datos personales, en cumplimiento de la legislación vigente.

4. Prevención, detección, respuesta y conservación

TECNOPREVEN S.L. implementa acciones preventivas para evitar la materialización de amenazas, minimizando las vulnerabilidades detectadas. Cuando estas amenazas se producen, la organización actúa con agilidad para responder y restaurar la información o los servicios afectados, garantizando la conservación segura de los datos.

5. Existencia de líneas de defensa

La estrategia de seguridad de TECNOPREVEN S.L. se diseña e implementa en capas de seguridad, estableciendo múltiples niveles de protección para garantizar la robustez de los sistemas frente a amenazas internas y externas.

6. Vigilancia continua y reevaluación periódica

La organización implementa mecanismos de detección y respuesta frente a actividades o comportamientos anómalos. Además, se realizan evaluaciones continuas del estado de seguridad de los activos y procesos. Este enfoque permite identificar ineficiencias y fomentar la mejora continua mediante la revisión y actualización periódica de las medidas de seguridad.

7. Seguridad por defecto y desde el diseño

Los sistemas de información de TECNOPREVEN S.L. se diseñan y configuran garantizando la seguridad por defecto, proporcionando únicamente la funcionalidad mínima necesaria para prestar los servicios previstos. Este principio se aplica desde la fase de diseño hasta el final del ciclo de vida de los sistemas.

8. Diferenciación de responsabilidades

Para garantizar una adecuada gestión de la seguridad, se asegura una clara diferenciación de responsabilidades entre los distintos roles relacionados con la seguridad de la información. En particular, las funciones del Responsable de Seguridad y del Responsable del Sistema estarán claramente definidas y separadas.

6. MARCO NORMATIVO

La presente Política de Seguridad de la Información de TECNOPREVEN S.L. se rige por las disposiciones establecidas en el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo, así como por las normativas legales y reglamentarias aplicables a la organización, tanto a nivel nacional como internacional.

Para garantizar el cumplimiento normativo, TECNOPREVEN S.L. dispone de un repositorio centralizado de normativa, que recoge los requisitos legales, reglamentarios y contractuales en materia de seguridad de la información. Este repositorio se actualiza de manera periódica y está disponible para consulta en la base de datos interna de la organización.

Entre las normativas clave que afectan a esta política, se incluyen, pero no se limitan a:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

  • Reglamento (UE) 2016/679, de 27 de abril (RGPD): Reglamento General de Protección de Datos.

  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

  • Normas ISO 27001 e ISO 27002: Sistemas de Gestión de Seguridad de la Información.

  • Otras normativas específicas relacionadas con las funciones y actividades de TECNOPREVEN S.L.

El Comité de Seguridad de la Información supervisará el cumplimiento de estas normativas y garantizará que la política se ajuste a los requisitos legales y regulatorios vigentes.

7. ORGANIZACIÓN DE LA SEGURIDAD

La organización de la seguridad en TECNOPREVEN S.L. se articula a través de un Comité de Seguridad y de roles específicos, asignados a diferentes responsables con funciones claramente definidas. Este modelo organizativo garantiza una gestión eficaz y eficiente de la seguridad de la información, alineada con los principios de diferenciación de responsabilidades y mejora continua.

7.1. COMITÉS: FUNCIONES Y RESPONSABILIDADES

El Comité de Seguridad coordina y supervisa la seguridad de la información en TECNOPREVEN S.L., dando soporte a la organización y garantizando el cumplimiento de los objetivos estratégicos en esta materia.

El Comité estará compuesto por:

  • Responsable del Servicio: Oscar Martorell

  • Responsable de la Información: Gerard Coderch

  • Responsable de Seguridad: Silvio Sunyer

  • Responsable del Sistema: Salva Carrasco

El Comité de Seguridad tendrá las siguientes funciones:

  • Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.

  • Elaborar la estrategia de evolución de TECNOPREVEN S.L. en lo que respecta a seguridad de la información.

  • Coordinar los esfuerzos de los diferentes departamentos en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.

  • Elaborar (y revisar regularmente) la Política de Seguridad de la Información para que sea aprobada por la organización.

  • Aprobar la normativa de seguridad de la información.

  • Elaborar y aprobar los requisitos de formación y calificación de los responsables de área, técnicos y usuarios desde el punto de vista de seguridad de la información.

  • Monitorizar los principales riesgos residuales asumidos por TECNOPREVEN S.L. y recomendar posibles actuaciones respecto de ellos.

  • Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones al respecto. En particular, velar por la coordinación de los diferentes departamentos en la gestión de incidentes de seguridad de la información.

  • Promover la realización de auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.

  • Aprobar planes de mejora de la seguridad de la información de TECNOPREVEN S.L. En particular, velará por la coordinación de diferentes planes que puedan realizarse en diferentes departamentos.

  • Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.

  • Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.

  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

  • Informar regularmente del estado de la seguridad de la información a la Dirección.

7.2. ROLES: FUNCIONES Y RESPONSABILIDADES

Los roles clave en la gestión de la seguridad de la información serán los siguientes:

Responsable del Servicio:

  • Establecer los requisitos del servicio en materia de seguridad, incluyendo los requisitos de interoperabilidad, accesibilidad y disponibilidad.

  • Determinar los niveles de seguridad de los servicios.

  • Aprobar formalmente el nivel de seguridad del servicio.

Responsable de la Información:

  • Velar por el buen uso de la información y, por tanto, de su protección.

  • Ser responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.

  • Establecer los requisitos de la información en materia de seguridad.

  • Determinar los niveles de seguridad de la información.

  • Aprobar formalmente el nivel de seguridad de la información.

Responsable de Seguridad:

  • Mantener el nivel adecuado de seguridad de la información manejada y de los servicios prestados por los sistemas.

  • Realizar o promover las auditorías periódicas a las que obliga el ENS para verificar el cumplimiento de los requisitos del mismo.

  • Gestionar la formación y concienciación en materia de seguridad TIC.

  • Comprobar que las medidas de seguridad existentes son las adecuadas para las necesidades de la entidad.

  • Revisar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.

  • Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.

  • Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución, emitiendo informes periódicos sobre los más relevantes al Comité.

Responsable del Sistema:

  • Gestionar el Sistema de Información durante todo su ciclo de vida, desde la especificación, instalación hasta el seguimiento de su funcionamiento.

  • Definir los criterios de uso y los servicios disponibles en el Sistema.

  • Definir las políticas de acceso de usuarios al Sistema.

  • Aprobar los cambios que afecten a la seguridad del modo de operación del Sistema.

  • Determinar la configuración autorizada de hardware y software a utilizar en el Sistema y aprobar las modificaciones importantes de dicha configuración.

  • Realizar el análisis y gestión de riesgos en el Sistema.

  • Elaborar y aprobar la documentación de seguridad del Sistema.

  • Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS.

  • Implantar y controlar las medidas específicas de seguridad del Sistema.

  • Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos.

  • Suspensión del manejo de cierta información o la prestación de un cierto servicio si detecta deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.

7.3. PROCEDIMIENTOS DE DESIGNACIÓN

TECNOPREVEN S.L. establece que:

  • La Dirección es responsable de asignar, renovar y comunicar las responsabilidades, autoridades y roles relacionados con la seguridad de la información.

  • Los nombramientos de roles clave serán revisados periódicamente, asegurando que las personas asignadas cuentan con las competencias necesarias para ejercer sus funciones.

  • El Responsable de Seguridad y el Responsable del Sistema deberán ser personas diferentes, sin dependencia jerárquica entre ellos, para garantizar la independencia en sus funciones.

  • Los usuarios serán informados de sus responsabilidades y roles en materia de seguridad, y se asegurará que las asumen y ejercen adecuadamente.

  • En caso de conflictos de responsabilidad, el Comité de Seguridad resolverá las discrepancias, elevando el caso a la Dirección si no tiene suficiente autoridad para decidir.

7.4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

El Comité de Seguridad será responsable de:

  • Revisar anualmente la Política de Seguridad de la Información y proponer revisiones o mantenimiento de la misma.

  • Garantizar su aprobación formal por la organización.

  • Difundir la Política para que sea conocida por todas las partes afectadas, tanto internas como externas.

8. TRATAMIENTO DE DATOS PERSONALES EN LA ENTIDAD

TECNOPREVEN S.L. trata datos de carácter personal de acuerdo con lo establecido en el Registro de Actividades del Tratamiento (RAT), asegurando que estos datos sean adecuados, pertinentes y limitados a las finalidades legítimas para las que fueron recogidos.

La organización adopta las medidas técnicas y organizativas necesarias para garantizar el cumplimiento de la normativa vigente en materia de protección de datos, en particular el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Análisis de riesgos y evaluación de impacto

  • TECNOPREVEN S.L. realiza un análisis de riesgos periódico para evaluar los riesgos relacionados con los datos personales tratados.

  • En caso de que se detecte un tratamiento de alto riesgo, se llevará a cabo una evaluación de impacto relativa a la protección de datos (EIPD) para identificar y mitigar los riesgos que puedan superar el umbral aceptable.

  • El análisis de riesgos y las evaluaciones de impacto serán supervisados y asesorados por el Delegado de Protección de Datos (DPD), quien garantizará su correcta aplicación.

Coordinación con el Esquema Nacional de Seguridad

La implementación del plan de tratamiento de riesgos en materia de protección de datos personales se coordinará con las medidas de seguridad definidas en el Esquema Nacional de Seguridad (ENS). Esto asegura una gestión integrada que incluye:

  • La supervisión de las obligaciones de protección de datos en la relación con prestadores de servicios.

  • La respuesta a incidentes de seguridad que impliquen la brecha de datos personales, garantizando la notificación a la autoridad competente y, cuando sea necesario, a los usuarios afectados.

Legitimidad y registro de actividades

  • TECNOPREVEN S.L. asegura que todos los tratamientos de datos personales cuentan con una base jurídica adecuada, conforme a lo establecido en el RGPD.

  • La organización dispone de un Registro de Actividades del Tratamiento, que incluye información detallada sobre cada tratamiento: finalidades, categorías de interesados, bases jurídicas, plazos de conservación, y medidas de seguridad aplicadas.

Compromiso con la normativa de protección de datos

TECNOPREVEN S.L. garantiza que:

  1. Los datos personales tratados sean adecuados, pertinentes y limitados al cumplimiento de las finalidades específicas para las que se obtuvieron.

  2. Todos los empleados implicados en el tratamiento de datos personales reciban la formación necesaria para cumplir con sus responsabilidades en esta materia.

  3. Los derechos de los interesados (acceso, rectificación, supresión, oposición, portabilidad y limitación) sean respetados y atendidos en los plazos establecidos por la normativa.

9. GESTIÓN DE RIESGOS

Todos los sistemas sujetos a esta Política de Seguridad de la Información deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos, así como su impacto sobre la organización. Este análisis permitirá implantar medidas de seguridad proporcionales al riesgo, garantizando la protección adecuada de los activos de información y servicios prestados.

El análisis de riesgos se llevará a cabo:

  • Regularmente, al menos una vez al año.

  • Cuando cambie la información manejada, incluyendo modificaciones en su clasificación, confidencialidad o criticidad.

  • Cuando cambien los servicios prestados, incluyendo la incorporación, eliminación o modificación de sistemas.

  • Cuando ocurra un incidente grave de seguridad, para evaluar su impacto y prevenir futuras ocurrencias.

  • Cuando se reporten vulnerabilidades graves que puedan afectar a los activos o servicios.

  • Cuando se produzcan modificaciones en el análisis de riesgos de protección de datos o en las evaluaciones de impacto relativas a la protección de datos personales.

Armonización de los análisis de riesgos

El Comité de Seguridad de la Información será el órgano encargado de:

  1. Establecer una valoración de referencia para los diferentes tipos de información manejados y los servicios prestados, armonizando los criterios de análisis en toda la organización.

  2. Dinamizar la disponibilidad de recursos para atender las necesidades de seguridad de los sistemas, promoviendo inversiones de carácter horizontal que refuercen la seguridad global de la organización.

  3. Coordinar los planes de tratamiento del riesgo para garantizar que las medidas adoptadas sean coherentes y eficaces.

Documentación y seguimiento

La gestión de riesgos quedará documentada en el Informe de Activos y Evaluación de Riesgos de TECNOPREVEN S.L., donde se incluirán:

  • Los activos identificados.

  • Los riesgos detectados y su análisis.

  • Las medidas de mitigación implementadas y su eficacia.

Protección de datos y coordinación

Se tendrán en cuenta los riesgos específicos relacionados con la protección de datos personales, contando con la supervisión y asesoramiento del Delegado de Protección de Datos (DPD). La coordinación entre los planes de tratamiento de riesgos del Esquema Nacional de Seguridad (ENS) y los de protección de datos garantizará una gestión integrada y eficiente.

10. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La presente Política de Seguridad de la Información se complementa e integra con otras políticas y normativas internas de TECNOPREVEN S.L., que abordan diferentes aspectos relacionados con la seguridad de la información, el uso de los sistemas y la protección de datos.

Para garantizar una gestión centralizada y accesible, TECNOPREVEN S.L. dispone de un repositorio de normativa interna, actualizado periódicamente, que incluye:

  • La Política de Seguridad de la Información.

  • Normativas específicas, como la Política de uso de los medios electrónicos y la Normativa de protección de datos personales.

  • Procedimientos, guías e instrucciones técnicas relacionadas con la seguridad.

Este repositorio está disponible en la base de datos corporativa y constituye el punto único de referencia para todas las políticas, normativas y procedimientos aplicables.

Niveles del cuerpo normativo sobre seguridad de la información

El marco normativo de TECNOPREVEN S.L. se desarrolla en tres niveles, clasificados según su ámbito de aplicación, nivel de detalle técnico y obligatoriedad de cumplimiento:

  • Primer nivel normativo:
    Formado por la presente Política de Seguridad de la Información y las directrices generales de seguridad aplicables a las unidades de la organización.

  • Segundo nivel normativo:
    Constituido por normas específicas derivadas del primer nivel, que detallan políticas concretas aplicables a áreas específicas.

  • Tercer nivel normativo:
    Incluye procedimientos, guías e instrucciones técnicas que determinan las acciones o tareas específicas necesarias para implementar las políticas y normas.

Revisión y mantenimiento

El Comité de Seguridad de la Información será responsable de:

  • Revisar anualmente la Política de Seguridad y el resto del cuerpo normativo.

  • Proponer mejoras para garantizar que las normativas se adecuen a las necesidades de la organización y a los cambios en el entorno normativo, tecnológico u organizativo.

Disponibilidad y acceso

La normativa de seguridad estará a disposición de los usuarios mediante los siguientes medios:

  • Repositorio de normativa interna: Accesible a través de la base de datos corporativa de TECNOPREVEN S.L., que centraliza todas las políticas, normativas y procedimientos aplicables.

  • Plataforma de gestión documental: Como herramienta de consulta y referencia para empleados y colaboradores.

  • Sesiones informativas y formativas, organizadas por el Comité de Seguridad de la Información, para garantizar la correcta aplicación de las normativas.

Participación de los usuarios

Cuando resulte adecuado, se recabará la opinión de los usuarios internos y externos para garantizar que las normativas de seguridad respondan a las necesidades reales de la organización, asegurando al mismo tiempo la protección de los intereses y el buen funcionamiento de TECNOPREVEN S.L.

11. OBLIGACIONES DEL PERSONAL

Todos los miembros de TECNOPREVEN S.L. tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información, así como todas las normas, procedimientos y guías que la desarrollen. Es responsabilidad del Comité de Seguridad de la Información y del Área de Personal disponer los medios necesarios para que esta información sea comunicada de manera efectiva a los afectados.

Concienciación y formación en seguridad

  1. Sesiones de concienciación anual:

    • Todos los miembros de TECNOPREVEN S.L. asistirán, al menos una vez al año, a una sesión de concienciación en materia de seguridad de la información.

    • Se establecerá un programa de concienciación continua, dirigido especialmente a los empleados de nueva incorporación, para garantizar que todos los usuarios conozcan sus responsabilidades en materia de seguridad desde el inicio de su actividad en la organización.

  2. Formación específica para roles TIC:

    • Las personas con responsabilidades en el uso, operación o administración de los sistemas TIC recibirán la formación necesaria para el manejo seguro de los sistemas, en función de las necesidades de su puesto.

    • Esta formación será obligatoria antes de asumir una nueva responsabilidad, ya sea su primera asignación o un cambio de puesto de trabajo o de funciones dentro de la organización.

Compromiso del personal

  • El personal de TECNOPREVEN S.L. debe actuar en todo momento conforme a los principios de confidencialidad, integridad, disponibilidad y trazabilidad de la información tratados en la organización.

  • El incumplimiento de las normas de seguridad podrá dar lugar a medidas correctivas o disciplinarias, en función de la gravedad del incumplimiento y conforme a lo establecido en la normativa interna de la organización.

Responsabilidades del Comité de Seguridad y del Área de Personal

  • Garantizar la difusión de esta política y su normativa asociada.

  • Asegurar que las sesiones de concienciación y formación se realicen de manera periódica y sean accesibles para todos los empleados.

  • Documentar y registrar la asistencia a las sesiones de formación y concienciación, como evidencia del cumplimiento de esta obligación.

12. TERCERAS PARTES / PRESTADORES DE SERVICIOS / PROVEEDORES DE SOLUCIONES

Relación con otras entidades

Cuando TECNOPREVEN S.L. preste servicios a otras organizaciones o maneje información de terceros, se les hará partícipes de esta Política de Seguridad de la Información, garantizando que las partes implicadas respeten las obligaciones establecidas por la normativa de protección de datos, especialmente cuando TECNOPREVEN S.L. actúe como encargado del tratamiento.

Para ello:

  • Canales de reporte y coordinación: Se establecerán canales específicos para el reporte y la coordinación entre los respectivos Comités de Seguridad de la Información.

  • Reacción ante incidentes: Se definirán procedimientos de actuación concretos para la gestión y reacción ante incidentes de seguridad, que serán coordinados por el Responsable de Seguridad (o la persona en quien delegue), quien actuará como Punto de Contacto (POC).

Relación con terceros

Cuando TECNOPREVEN S.L. utilice servicios de terceros o ceda información a estos, se les hará partícipes de esta Política de Seguridad de la Información y de la normativa aplicable a dichos servicios o información, incluyendo:

  • Obligaciones de seguridad:

    • Los terceros quedarán sujetos a las obligaciones establecidas en la normativa de seguridad de TECNOPREVEN S.L.

    • Podrán desarrollar sus propios procedimientos operativos para cumplir con dichas obligaciones, pero TECNOPREVEN S.L. tendrá derecho a supervisar su aplicación, solicitar evidencias del cumplimiento o realizar auditorías de segunda o tercera parte.

  • Resolución de incidencias:

    • Se establecerán procedimientos específicos para el reporte y resolución de incidencias, que deberán ser canalizados a través del Punto de Contacto (POC) designado por la tercera parte.

    • En caso de que las incidencias afecten a datos personales, será necesaria la participación directa del Delegado de Protección de Datos (DPD).

Concienciación y formación del personal de terceros

Se garantizará que el personal de los terceros implicados esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad o el requerido específicamente en el contrato.

Riesgos no satisfechos

Cuando algún aspecto de esta Política de Seguridad de la Información no pueda ser satisfecho por un tercero:

  1. El Responsable de Seguridad emitirá un informe que precise los riesgos asociados y las medidas propuestas para tratarlos.

  2. Dicho informe será evaluado por el Comité de Seguridad de la Información y trasladado a los responsables de la información y los servicios afectados.

  3. En caso de aceptación de los riesgos, se requerirá la aprobación del representante de TECNOPREVEN S.L. antes de iniciar la contratación o adjudicación del servicio.

Contratación y cumplimiento normativo

En la contratación de prestadores de servicios o adquisición de productos, TECNOPREVEN S.L. garantizará que:

  • Los adjudicatarios cumplan con las obligaciones establecidas en el Esquema Nacional de Seguridad (ENS).

  • En la adquisición de activos en la nube, se respeten los requisitos de seguridad establecidos en el Anexo II del ENS y las guías de desarrollo específicas.

Inteligencia Artificial y sistemas avanzados

Cuando TECNOPREVEN S.L. adquiera, desarrolle o implante un sistema de Inteligencia Artificial (IA):

  • Se requerirá un informe previo del Responsable de Seguridad, que consultará al Responsable de la Información y al Responsable del Servicio.

  • En caso de afectar a datos personales, el Delegado de Protección de Datos (DPD) deberá emitir su parecer.

  • Se garantizará el cumplimiento de la normativa vigente en materia de IA y protección de datos.

13. GESTIÓN DE INCIDENTES DE SEGURIDAD

TECNOPREVEN S.L. dispone de un procedimiento documentado para la gestión ágil y eficiente de los eventos e incidentes de seguridad que puedan suponer una amenaza para la información, los sistemas y los servicios de la organización.

Objetivos del procedimiento de gestión de incidentes

El procedimiento, disponible para los usuarios en el repositorio interno de normativa, tiene como objetivos garantizar que:

  1. Los incidentes de seguridad sean detectados, analizados y gestionados de forma eficaz, minimizando su impacto.

  2. Se asegure la coordinación con otros procedimientos relacionados, como los de protección de datos personales, en cumplimiento del RGPD y la LOPDGDD.

  3. Se notifiquen los incidentes a los organismos de control competentes, cuando sea necesario, sin dilaciones indebidas, y, en su caso, a las Fuerzas y Cuerpos de Seguridad del Estado o a los juzgados.

Integración normativa

El procedimiento de gestión de incidentes se encuentra integrado con las normativas sectoriales aplicables y contempla:

  • La gestión de brechas de seguridad que afecten a datos personales, en coordinación con el Delegado de Protección de Datos (DPD).

  • La notificación a la Agencia Española de Protección de Datos (AEPD), cuando sea necesario, cumpliendo los plazos establecidos por la normativa.

  • La aplicación de las medidas necesarias para mitigar los riesgos derivados de los incidentes.

Roles y responsabilidades

En TECNOPREVEN S.L., la gestión de los incidentes de seguridad es una responsabilidad compartida, organizada de la siguiente manera:

  1. Responsable de Seguridad:
    Coordina la respuesta a los incidentes y actúa como Punto de Contacto (POC) para la comunicación con organismos externos.

  2. Comité de Seguridad de la Información:
    Supervisa la gestión de los incidentes críticos y garantiza la correcta aplicación del procedimiento.

  3. Delegado de Protección de Datos (DPD):
    Participa en la gestión de incidentes relacionados con datos personales, asegurando el cumplimiento de las normativas aplicables.

Notificación y escalado

El procedimiento establece un sistema de clasificación y escalado de los incidentes según su nivel de criticidad:

  • Incidentes menores: Gestionados internamente por el equipo técnico, siguiendo los pasos detallados en el procedimiento.

  • Incidentes críticos: Aquellos que afecten gravemente a la información, los servicios o los datos personales:

    • Se escalarán al Comité de Seguridad de la Información y, cuando proceda, al Responsable de Seguridad.

    • En caso de ser necesario, se notificará a las autoridades competentes, como la AEPD, las Fuerzas y Cuerpos de Seguridad del Estado o los juzgados.

Registro y documentación

Todos los incidentes gestionados por TECNOPREVEN S.L. quedan registrados en un Registro Centralizado de Incidentes de Seguridad.

Este registro es revisado periódicamente por el Comité de Seguridad de la Información para identificar patrones y proponer mejoras preventivas.

Revisión continua

El procedimiento de gestión de incidentes se revisa de forma periódica para garantizar su adecuación a:

  • Los nuevos riesgos y amenazas identificados.

  • Los cambios normativos o tecnológicos aplicables.

  • Las lecciones aprendidas tras la resolución de incidentes previos.

Disponibilidad del procedimiento

El procedimiento completo para la gestión de incidentes de seguridad está documentado y disponible para todos los usuarios en el repositorio interno de normativa de TECNOPREVEN S.L., garantizando su accesibilidad y correcta aplicación.

14. APROBACIÓN DE LA POLÍTICA Y ENTRADA EN VIGOR / EFECTIVIDAD

La presente Política de Seguridad de la Información ha sido aprobada por el órgano competente de TECNOPREVEN S.L. y entra en vigor en la fecha de su publicación oficial.

Revisión y modificaciones

  • El Comité de Seguridad de la Información será el responsable de revisar esta Política anualmente, con el fin de garantizar su adecuación y eficacia frente a los cambios normativos, tecnológicos u organizativos que puedan surgir.

  • Las modificaciones menores o adaptaciones necesarias para corregir ineficiencias serán realizadas directamente por el Comité de Seguridad, quien se encargará de su implantación.

Modificaciones sustanciales

  • En caso de que los cambios propuestos impliquen una modificación sustancial de los principios, responsabilidades o disposiciones fundamentales de esta Política, el Comité de Seguridad de la Información elaborará una propuesta formal que deberá ser revisada y aprobada por el órgano con competencias designadas en la organización.

  • Una vez aprobados los cambios, se garantizará la comunicación y difusión de las actualizaciones a todos los miembros afectados por los mismos canales utilizados para la difusión inicial de la Política.

Sustitución de la Política

  • La sustitución completa de esta Política solo podrá ser instada por el Comité de Seguridad de la Información y deberá ser ratificada por el órgano competente de TECNOPREVEN S.L.

  • Los usuarios serán notificados adecuadamente sobre la sustitución y entrada en vigor de la nueva Política, para lo cual se emplearán los canales habituales de comunicación interna, como el repositorio interno de normativa, circulares o sesiones informativas.

La presente Política será accesible a todos los empleados, colaboradores y partes interesadas de TECNOPREVEN S.L. mediante su publicación en el repositorio interno de normativa corporativa, asegurando su disponibilidad y comprensión.

Nombre del Director General
Silvio Sunyer Dequigiovanni

Firma de Silvio Sunyer Dequigiovanni

Tecnopreven S.L.

Fecha de Emisión: 29 de julio de 2025
Versión: 1.0

Aprobado por: Comité de Seguridad

Utilizamos cookies propias y de terceros para mejorar la web mediante el análisis de la navegación y personalizar el contenido mediante tus preferencias. Para más información puedes consultar nuestra Política de Cookies.

Puedes aceptar todas las cookies mediante el botón “Aceptar todas”.

Puedes configurar o rechazar su uso pulsando en “Configuración de cookies”.

Cookies técnicas esenciales:
Son necesarias para gestionar la navegación dentro de la web o para mantener al usuario conectado. No se pueden desactivar porque afectaría al funcionamiento de la web.