1. Introducción

La información constituye un activo de primer orden para GRUPO ROCAJUNYENT, ya que resulta imprescindible para la prestación de los servicios que ofrece a terceras partes. Por su parte, las tecnologías de la información y las comunicaciones (TIC) se han hecho imprescindibles para las organizaciones, ya que contribuyen de forma muy eficaz al tratamiento de esa información. Sin embargo, las mejoras que aportan las TIC al tratamiento de la información vienen acompañadas de nuevos riesgos. Por esa razón es necesario introducir medidas específicas para proteger tanto la información como los servicios que dependen de ella.

La seguridad de la información tiene como objetivo proteger la información y los servicios, reduciendo los riesgos a los que están sometidos hasta un nivel que resulte aceptable. El presente documento establece la Política de Seguridad de la Información de GRUPO ROCAJUNYENT para asegurar que todos los profesionales a su servicio tanto directa como indirectamente, conoce, dirige y da soporte a la seguridad de la información.

Con ello se pretende lograr el alineamiento estratégico de la gestión de la seguridad de la información con las normas internacionales y las regulaciones legislativas existentes en la materia.

2. Misión y objetivos de la política de seguridad de la información

GRUPO ROCAJUNYENT ha establecido un alineamiento con la gestión de la seguridad de la información según lo establecido en el marco normativo del estándar de mercados ISO 27001, reconociendo como activos estratégicos, la información y los sistemas que soportan.

Uno de los objetivos fundamentales de la implantación de esta Política de Seguridad de la Información es establecer las bases sobre las que tanto empleados internos, como terceras partes, puedan acceder a los servicios ofrecidos por GRUPO ROCAJUNYENT en un entorno seguro y de confianza.

La Política de Seguridad de la Información define el marco global para la gestión de la seguridad de la información protegiendo todos los activos de la información y garantizando la continuidad en el funcionamiento de los sistemas. Se pretende de esta forma minimizar los riesgos derivados de una posible falla en la seguridad y asegurar el cumplimiento de los objetivos de GRUPO ROCAJUNYENT ante un hipotético incidente de seguridad de la información.

Para ello, se establecen los siguientes objetivos generales en materia de seguridad de la información:

1. Contribuir desde la gestión de seguridad al cumplimiento de la misión y objetivos establecidos por GRUPO ROCAJUNYENT.
2. Disponer de las medidas de control necesarias para garantizar el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, especialmente en lo relativo a la protección de datos de carácter personal y a la prestación de servicios a través de medios electrónicos o telemáticos.
3. Asegurar la accesibilidad, confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
4. Asegurar la prestación continuada de los servicios, tanto de forma preventiva como de forma reactiva ante los incidentes de seguridad.
5. Proteger los activos de información de GRUPO ROCAJUNYENT y la tecnología que los soporta frente a cualquier amenaza, intencionada o accidental, interna o externa, con el fin de asegurar la confidencialidad, integridad y disponibilidad de estos.

Esta Política de Seguridad de la Información asegura un compromiso continuo y manifiesto de GRUPO ROCAJUNYENT, para la difusión y consolidación de la cultura de la seguridad.

3. Alcance

Esta Política de seguridad de la Información se aplicará a toda la información de GRUPO ROCAJUNYENT. A estos efectos se entiende por GRUPO ROCAJUNYENT.

• C/ Aribau,198 1ª Planta (Barcelona).
• C/ José Abascal, 56 6ª Planta (Madrid).
• C/ Gran Vía Jaume I, 37 5ª Planta (Girona).

Extendiendo el alcance de los sistemas de información proporcionados por ROCAJUNYENT a las siguientes organizaciones:

SIGE BUSINESS SERVICES, S.L.P.U (“SIGE”) con oficinas en las mismas ubicaciones.

4. Marco normativo

Se define como GRUPO ROCAJUNYENT con el conjunto de todas las organizaciones anteriormente descritas.

Esta Política no se limita a los datos de carácter personal y es independiente de que el tratamiento sea manual o automatizado.

La legislación en materia de seguridad de la información, que debe servir de referencia, se actualiza de forma continua y se queda reflejado en el “Anexo: Legislación aplicable”.

 5. Revisión de la política

En relación con las revisiones que puedan realizarse sobre la redacción del texto que constituye la política de seguridad de la información, se distinguirán dos tipos de actividades:

1. Revisiones periódicas sistemáticas: deberán realizarse al menos con una periodicidad anual, o cuando se detecten incidencias o cambios en el marco legal que puedan cuestionar la validez de dicha Política. La revisión de la Política de Seguridad de la Información deberá garantizar que ésta se encuentra alineada con la estrategia, la misión y visión de GRUPO ROCAJUNYENT en materia de seguridad de la información y que asegura el cumplimiento de los objetivos de control establecidos. 
2. Revisiones no planificadas: estas revisiones deberán realizarse en respuesta a cualquier evento o incidente de seguridad que pudiera suponer un incremento significativo del nivel de riesgo actual o haya causado un impacto en la seguridad de la información de GRUPO ROCAJUNYENT.

6. Organización interna de la seguridad

La seguridad de la información corresponde, con las funciones que se señalan para cada uno en este apartado, a los siguientes órganos: Comité de Seguridad de la Información de GRUPO ROCAJUNYENT, Responsables de la Información, Responsables del Servicio, Responsables de Seguridad y, en caso de que sea pertinente, Responsables de Seguridad Delegados.

       6.1. Comité de Seguridad de la Información y Protección de Datos.

El Comité de Seguridad de la Información y Protección de Datos es el organismo que centraliza la gestión de la seguridad de la información en la organización.

Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico, o de los sistemas que la manejen, podrán crearse Comités de Seguridad delegados, dependientes funcionalmente del Comité de Seguridad de la Información y Protección de Datos principal, que serán responsables en su ámbito de las actuaciones que se les deleguen.

El Comité de Seguridad de la Información y Protección de Datos es el responsable de garantizar que el SGSI sea implementado y mantenido de acuerdo con esta Política y de garantizar que todos los recursos necesarios estén disponibles.

El Comité de Seguridad de la Información y Protección de Datos definirá qué información relacionada con la seguridad de la información y será comunicada a qué parte interesada (tanto interna como externa), por quién y cuándo. 

       6.2. Responsable de Seguridad

Será la persona que determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. Tendrá las siguientes funciones:

1. Coordinación operativa del SGSI, como también de informar su desempeño 
2. Realizar o promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información.
3. Realizar el seguimiento y control del estado de seguridad de los sistemas de información.

4. Proponer al Comité de Seguridad de la Información y Protección de Datos las normas de seguridad y los procedimientos de seguridad.

   6.3. Responsable de Sistemas

Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico, o de los sistemas que la manejen, podrán designarse «responsables de seguridad delegados», dependientes funcionalmente del responsable principal, que serán responsables en su ámbito de las actuaciones que se les deleguen.

Será/n la/s persona/s encargada/s de implementar las medidas de seguridad designadas por el Responsable de Seguridad de la información.

Será/n la/s persona/s encargada/s de monitorizar los sistemas de información y del seguimiento de las medidas implementadas.

       6.4. Gerente

La alta dirección debe revisar el SGSI al menos una vez por año o cada vez que se produzca una modificación significativa; y debe elaborar minutas de dichas reuniones. El objetivo de las verificaciones por parte de la dirección es establecer la conveniencia, adecuación y eficacia del SGSI.

       6.5. Delegado de Protección de Datos

Será la persona encargada de desarrollar las políticas relacionadas con la protección de datos, así como participar en el comité para aportar su visión respecto a los incidentes de seguridad y su afectación a datos de carácter personal.

       6.6. Otras áreas

La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del propietario de cada activo.

Todos los incidentes o debilidades de seguridad deben ser informados al responsable de seguridad.

El departamento de recursos humanos es el responsable de adoptar e implementar el Plan de capacitación y concienciación, que corresponde a todas las personas que cumplen una función en la gestión de la seguridad de la información. 

7. Resolución de conflictos

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la Política de Seguridad de la Información, éste será resuelto por la Dirección de GRUPO ROCAJUNYENT, y prevalecerán las mayores exigencias derivadas de la protección de datos de carácter personal.

 8. Clasificación de la información

GRUPO ROCAJUNYENT clasificará e inventariará los activos de la información en virtud de su naturaleza. El nivel de protección y las medidas a aplicar se basarán en el resultado de dicha clasificación.

 9. Datos de carácter personal

Cuando un sistema al que afecte ISO 27001 maneje datos de carácter personal, le será de aplicación lo dispuesto en Reglamento Europeo 679/2016 de protección de datos y en la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos de Carácter Personal y sus normas de desarrollo, sin perjuicio de los requisitos establecidos en el marco regulatorio del ISO 27001 en el ámbito de la Administración Electrónica. Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos de carácter personal.

 10. Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán ser sometidos a un análisis y gestión de riesgos, evaluando los activos, amenazas y vulnerabilidades a los que están expuestos y proponiendo las contramedidas adecuadas para mitigar los riesgos. Aunque se precisa un control continuo de los cambios realizados en los sistemas, este análisis se repetirá:

1. al menos una vez al año (mediante revisión y aprobación formal).
2. cuando cambie la información manejada 
3. cuando cambien los servicios prestados 
4. cuando ocurra un incidente grave de seguridad 
5. cuando se reporten vulnerabilidades graves

 11. Instrumento de desarrollo

Para la armonización de los análisis de riesgos, se establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.

Se establece un marco normativo en materia de seguridad de la información estructurado por diferentes niveles de forma que los objetivos marcados por el presente documento tengan un desarrollo específico. La política de seguridad de la información estructurará su marco normativo en los siguientes niveles:

1. La presente Política de Seguridad de la Información que establece los requisitos y criterios de protección de carácter global.
2. Las normas de seguridad que definen qué hay que proteger y los requisitos de seguridad deseados. El conjunto de todas las normas de seguridad debe cubrir la protección de todos los entornos de los sistemas de información de la organización. Establecen un conjunto de expectativas y requisitos que deben ser alcanzados para poder satisfacer y cumplir cada uno de los objetivos de seguridad establecidos en la política. Las propone el Responsable de Seguridad y las aprueba el Comité de Seguridad de la Información.
3. Los procedimientos de seguridad en los que describirá de forma concreta cómo proteger lo definido en las normas y las personas o grupos responsables de la implantación, mantenimiento y seguimiento de su nivel de cumplimiento. Son documentos que especifican cómo llevar a cabo las tareas habituales, quién debe hacer cada tarea y cómo identificar y reportar comportamientos anómalos.

 12. Obligaciones de  los profesionales

Su aprobación dependerá de su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de información determinado.

Además, se podrán establecer guías con recomendaciones y buenas prácticas.

En la medida de lo posible, toda esta documentación será gestionada según establece el procedimiento vigente de Control de documentos y registros en GRUPO ROCAJUNYENT, que tendrá como objetivo establecer los criterios para el control de la documentación y registros de seguridad utilizados en el Sistema de Gestión de la Seguridad de la Información y que se extiende a toda la documentación que da soporte al cumplimiento de ISO 27001.

Todos los profesionales con responsabilidad en el uso, operación, o administración de sistemas de tecnologías de la información y las comunicaciones tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad derivada, independientemente del tipo de relación jurídica que les vincule con GRUPO ROCAJUNYENT.

Todas las personas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.

La Política de Seguridad de la Información estará accesible para todos los profesionales que presten sus servicios en los órganos y entidades a que se refiere el punto relativo al ‘Alcance’.

Con el objetivo de fomentar la ‘Cultura de la seguridad’, el Comité de Seguridad de la Información promoverá un programa de concienciación continúa para formar a todos los profesionales. El incumplimiento de la Política de Seguridad de la Información y su normativa de desarrollo dará lugar al establecimiento de medidas preventivas y correctivas encaminadas a salvaguardar y proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia de responsabilidad disciplinaria.

13. Relaciones con terceros

Cuando GRUPO ROCAJUNYENT preste servicios o ceda información a terceras partes, se les hará partícipe de esta Política de Seguridad de la Información y de las normas e instrucciones derivadas.

Asimismo, cuando GRUPO ROCAJUNYENT utilice servicios de terceros o ceda información a terceros se les hará igualmente partícipe de esta Política de Seguridad de la Información y de la normativa e instrucciones de seguridad que ataña a dichos servicios o información. Los terceros quedarán sujetos a las obligaciones y medidas de seguridad establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de detección y resolución de incidencias.

Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información, al menos al mismo nivel que el establecido en esta Política de Seguridad de la Información.

En concreto, los terceros deberán garantizar el cumplimiento de la política de seguridad de la información basadas en estándares auditables que permitan verificar el cumplimiento de estas políticas. Asimismo, se garantizará mediante auditoría o certificado de destrucción/borrado que la tercera cancela y elimina los datos pertenecientes a GRUPO ROCAJUNYENT a la finalización del contrato.

Cuando algún aspecto de la Política de la Seguridad de la Información no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Gerente antes de seguir adelante.

Aprobada por:

Comité de Seguridad de la Información y Protección de Datos