Netics Communications, SLU, depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos empresariales. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza ante cualquier incidente.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la disponibilidad, integridad, confidencialidad, autenticidad, trazabilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.

Esto implica que Netics Communications, SLU y su personal debe aplicar las medidas mínimas de seguridad exigidas la norma internacional ISO/IEC 27001:2022, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes integrantes de Netics Communications, SLU deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.

Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en los proyectos TIC.

Netics Communications, SLU debe estar preparada para prevenir, detectar, dar respuesta y conservar la información necesaria con el fin de minimizar las vulnerabilidades y eliminar o reducir las amenazas antes de que se materialicen.

En virtud de lo expuesto, la Política de Seguridad de la Información para Netics Communications, SLU se regirá por los siguientes puntos.

La responsabilidad esencial recae sobre la Gerencia de la empresa, ya que esta es responsable de organizar las funciones y responsabilidades y de facilitar los recursos adecuados para conseguir los objetivos del sistema de seguridad de la información.

 Dentro de Netics Communications, SLU se cuentan con los siguientes roles y funciones:

 Responsable de Seguridad

a)       Establecer los requisitos de la información y de los servicios en materia de seguridad y gestionar la misma en función de lo establecido en las políticas y normativas aplicables al sistema de gestión de seguridad de la información.

b)      Fomentar y participar en el desarrollo e implantación de la política del Sistema de la Información y su normativa, procedimiento o documentación derivada.

c)       Coordinación de personal de seguridad dentro de la empresa.

d)      Aprobación final de las decisiones y comités de seguridad para su elevación a la Gerencia.

e)       Trasladar a la Gerencia las decisiones en materia de seguridad de la información, así como los posibles incidentes detectados.

f)        Mantener contacto con grupos de interés y autoridades en materia de seguridad informática para mantener actualizados los conocimientos de la compañía en esta materia y promover posibles iniciativas.

g)      Velar por la efectividad de los controles implantados en la infraestructura tecnológica.

h)       Asegurar los recursos y necesidades para asegurar la continuidad de los servicios y trasladar las necesidades a la Gerencia.

 Responsable de la Información y del Servicio

a)       Aprobación de manera formal de los niveles de la información y los servicios.

b)      Proponer el diseño de acciones de concienciación y sensibilización relativas a la seguridad y dirigidas a todo el personal.

c)       Mantener contacto con grupos de interés y autoridades en materia de seguridad de la información para mantener actualizados los conocimientos de la compañía en esta materia y promover posibles iniciativas.

d)      Revisar los controles implantados en la infraestructura tecnológica.

e)       Coordinar las pruebas oportunas para que la infraestructura funcione correctamente.

f)        Liderar las posibles pruebas que se puedan realizar o auditorías técnicas u organizativas para evaluar el estado de los sistemas

 Responsable del Sistema 

a)       Colaborar en la designación de los niveles de la información y los servicios.

b)      Asegurar y velar por el funcionamiento de las plataformas informáticas y de seguridad e infraestructura tecnológica.

c)       Colaborar en la dignación de medidas técnicas y organizativas en el ámbito de adecuación del sistema.

d)      Gestionar la implementación de controles técnicos junto con el responsable de la Información y del Servicio.

e)       Escalar los posibles incidentes de seguridad de la información que afecten a los sistemas de seguridad de la información o que puedan afectar de forma indirecta.

f)        Colaborar en la realización de auditorías técnicas u organizativas para evaluar el estado de los sistemas.

El Comité de Seguridad de la Información es el órgano decisorio en materia de seguridad de la información. Será el órgano responsable de proporcionar las directrices de gestión de la seguridad de la información en los servicios de Netics Communications, SLU. 

Estará formado por el responsable de Seguridad, el Responsable de la Información, el Responsable del Servicio y el Responsable del Sistema. El Comité tendrá las siguientes funciones:

a)       Definir los objetivos y metas de la organización en materia de seguridad de la información y asegurar que los mismos están en conexión con los requisitos de negocio, procesos más relevantes, así como las normativas de calidad implantadas en la empresa.

b)      Formular, revisar y promulgar la política de seguridad de la información en la empresa supervisando su efectiva implantación.

c)       Establecer las directrices y apoyo de la empresa a las iniciativas en materia de seguridad de la información.

d)      Proveer a la empresa de los recursos necesarios para acometer las actividades e implantar los controles necesarios relativos a la seguridad de la información.

e)       Aprobar las obligaciones y funciones que se establezcan dentro de la empresa en materia de seguridad de la información.

f)        Promocionar la elaboración de planes y programas de formación en materia de seguridad de la información para su conocimiento por parte del personal de la empresa.

g)      Monitorizar los principales riesgos residuales asumidos por la empresa y recomendar posibles actuaciones respecto de ellos.

h)       Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.

i)         Asegurarse que la implementación de los controles y salvaguardas está coordinada y es extensiva a toda la empresa.

j)         Supervisar los cambios significativos y la exposición de los activos informáticos a amenazas significativas mediante la gestión del riesgo efectivo de la empresa.

k)       Revisar los incidentes de seguridad de la información relevantes.

l)        Cumplir con las funciones y obligaciones que en materia de protección de datos de carácter personal en función de la legislación vigente.

m)    Cumplir con las funciones y obligaciones que en materia de recuperación de desastres y continuidad del negocio han sido asignadas dentro del Plan de Contingencias al Comité de Crisis.

n)       Aprobar planes de mejora de la seguridad de la información de la empresa. En particular velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.

o)      Atender las inquietudes de la Gerencia.

p)      Informar regularmente del estado de la seguridad de la información a la Gerencia.

q)      Promover la mejora continua del sistema de gestión de la seguridad de la información.

r)        El Comité de Seguridad de la Información reportará directamente a la Gerencia.

Los nombramientos se revisarán cada 2 años o cuando alguno de los puestos quede vacante.

 En caso de conflicto entre los diferentes responsables, éste será resuelto por Gerencia. En defecto de lo anterior, prevalecerá la decisión del Responsable de Seguridad.

 Por la presente, la Gerencia de Netics Communications, SLU asume la responsabilidad final y última del cumplimiento de la política.

Netics Communications, SLU trata los datos de carácter personal conforme a la legislación vigente en materia de protección de datos.

Netics Communications, SLU establece e implementa las medidas necesarias para dar al cumplimiento del reglamento como:

·         Registro de actividades de tratamiento como responsable y encargado.

·         Información disponible para los interesados y posibilidad de ejercer sus derechos y deberes.

·         Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

·         La seudoanimización y el cifrado de datos personales, siempre que sea posible.

·         La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

·         La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

·         El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas asegurar el tratamiento.

·         Procedimiento de quiebras de seguridad.

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisa regularmente:

 ·         al menos una vez al año.

·         cuando cambie la información manejada.

·         cuando cambien los servicios prestados.

·         cuando ocurra un incidente grave de seguridad.

·         cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Esta Política de Seguridad de la Información complementa las políticas de seguridad de Netics Communications, SLU en diferentes materias:

·         Organización e implantación del proceso de seguridad.

·         Análisis y gestión de los riesgos.

·         Gestión de personal.

·         Autorización y control de los accesos.

·         Protección de las instalaciones.

·         Gestión operativa.

·         Protección y gestión de la infraestructura lógica.

·         Protección de la información almacenada y en tránsito.

·         Prevención ante otros sistemas de información interconectados.

·         Registro de actividades.

·         Incidentes de seguridad.

·         Continuidad del sistema.

·         Mejora continua.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todo el personal de la empresa que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones. La normativa de seguridad estará disponible en Onedrive corporativo. 

Todo el personal de Netics Communications, SLU tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.

Todo el personal de Netics Communications, SLU deberá tener una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todo el personal de Netics Communications, SLU, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

Cuando Netics Communications, SLU preste servicios a otras empresas o maneje información de otras empresas, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando Netics Communications, SLU utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad de la Información que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

 Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.