Última modificación: 15 de abril de 2024
Política General de Seguridad de la Información
1 OBJETO
La Dirección de Legrand Group España S.L., define esta Política General de Seguridad de la Información (SSI) que se desarrolla en otras Políticas más concretas que pretenden asegurar la seguridad de la información en diferentes aspectos relevantes para la organización.
2 PROPIETARIO
Dirección.
3 MISIÓN Y ALCANCE
- Misión de la organización
Nuestra misión es Ayudar a las personas a tener una vida saludable y plena. LEGRAND GROUP ESPAÑA S.L. GROUP ESPAÑA S.L., consciente de la importancia y sensibilidad de la información manejada en sus servicios profesionales de Instalación, Mantenimiento y Soporte de Sistemas de Información para el sector Sociosanitario, ha decidido implantar un Sistema de Gestión de Seguridad de la Información (SSI), de cara a mostrar su implicación y compromiso en lo relativo a la Seguridad de la Información.
Esta política ha sido aprobada por la Dirección General de LEGRAND GROUP ESPAÑA S.L. con el fin de crear un marco de actuación que permita:
• Asegurar un nivel óptimo en la Seguridad de la Información gestionada por LEGRAND GROUP ESPAÑA S.L., de cara a conseguir la plena confianza de los usuarios de los servicios sociosanitarios.
• Preservar la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información manejada, cumpliendo con las necesidades y expectativas de las partes interesadas incluidas en el alcance del SSI.
• Asegurar el cumplimiento de la legislación vigente y la normativa aplicable en materia de seguridad de la información contenida en el alcance del SSI, así como otros requisitos contractuales.
• Alinear esta Política de Seguridad con el resto de las políticas de la organización.
• Proteger la información gestionada por el SSI contra cualquier uso indebido, prevenir posibles incidentes de seguridad y reducir el impacto potencial de estos.
• Asegurar la capacidad de respuesta ante situaciones de emergencia estableciendo Planes de Continuidad y Disponibilidad.
• Definir un sistema de gestión que permita mejorar continuamente la seguridad de la información en todos los procesos implicados en el alcance definido para dicho sistema.
• Para ello se ha definido y aprobado una metodología de gestión y tratamiento del riesgo que:
• Identifica los activos del SSI y el valor de éstos desde un punto de vista de la seguridad.
• Identifica las posibles amenazas a estos activos y evalúa su nivel de riesgo.
• Establece un plan de tratamiento de riesgos y unos controles de seguridad para reducir los niveles de riesgos determinados hasta un nivel aceptable.
• Monitoriza y revisa anualmente el estado del sistema y la adecuación del análisis de riesgos efectuado.
- Alcance
Servicio de provisión de la plataforma tecnológica para la prestación de servicios sociosaniotarios incluyendo la implementación, mantenimiento y soporte.
4 MARCO NORMATIVO
• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
• Reglamento (UE) 2016/679, de 27 de abril, Relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI).
DATOS DE CARÁCTER PERSONAL
En el ámbito de los datos de carácter personal, LEGRAND GROUP ESPAÑA S.L. GROUP ESPAÑA S.L. ha realizado la adecuación a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
LEGRAND GROUP ESPAÑA S.L. GROUP ESPAÑA S.L. mantiene un Registro de Actividades de Tratamiento (RAT), en el que se describen todos los tratamientos de datos de carácter personal.
PRINCIPIOS Y DIRECTRICES
Los principios básicos que deben contemplarse a la hora de garantizar la seguridad de la información son los marcados en el artículo 5 del RD 311/2022, por el que se regula el Esquema Nacional de Seguridad, de manera que las amenazas existentes no se materialicen o, en caso de materializarse, no afecten gravemente a la información que maneja, o los servicios que se prestan.
-Prevención.
LEGRAND GROUP ESPAÑA S.L. GROUP ESPAÑA S.L. evitará o tratará de prevenir que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos tienen implementadas las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, están claramente definidos y documentados.
Para garantizar el cumplimiento de la política, LEGRAND GROUP ESPAÑA S.L. GROUP ESPAÑA S.L.:
• Autoriza los sistemas antes de entrar en operación.
• Evalúa regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
• Solicita la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
- Detección
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple ralentización hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 10 del RD 311/2022.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del RD 311/2022. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
- Respuesta
LEGRAND GROUP ESPAÑA S.L. GROUP ESPAÑA S.L. dispone de mecanismos para responder eficazmente a los incidentes de seguridad. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT) o bien con responsables de seguridad o puntos de contacto para incidentes de otras entidades involucradas.
La dirección de correo electrónico para las comunicaciones con respecto a incidentes es soporte@neat-group.com.
El protocolo para el intercambio de información relacionada con el incidente se establece por medio del Procedimiento “SI-PR-03”.
- Recuperación
Para garantizar la disponibilidad de los servicios críticos, LEGRAND GROUP ESPAÑA S.L. GROUP ESPAÑA S.L. dispone de un plan de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación. Está establecido en el procedimiento “SI-PR-13”.
- Requisitos mínimos de seguridad
1. Los responsables de velar por el cumplimiento de la política de seguridad están adecuadamente identificados y son conocidos por todos los miembros de la organización.
2. El análisis y gestión de riesgos es parte esencial del proceso de seguridad y se mantiene permanentemente actualizado.
3. La Seguridad de la Información es responsabilidad de todos. Todas las personas que tiene acceso a la información de la organización deben protegerla, por lo que están adecuadamente formadas y concienciadas.
4. La formación es vital para mantener unos niveles de profesionalidad adecuados y un personal cualificado e instruido.
5. La información es protegida contra accesos y alteraciones no autorizadas, manteniéndola confidencial e íntegra. Asimismo, la información está disponible, y se permite su acceso autorizado, siempre que sea necesario.
6. Todos aquellos activos (infraestructura, soportes, sistemas, comunicaciones, etc.) donde reside la información, es transportada o es procesada, están adecuadamente protegidos.
7. La seguridad en la adquisición de productos y contratación de servicios debe estar en proporción a la criticidad de la información que protejan y a los daños o pérdidas que se pueden producir en ella.
8. Todos los sistemas se diseñan y configuran de forma que garantizan la seguridad por defecto, proporcionando la mínima funcionalidad requerida para lograr los objetivos de la organización.
9. Todo elemento físico o lógico es autorizado previamente a su instalación en el sistema.
10. La información almacenada o en tránsito a través de entornos inseguros está adecuadamente protegida.
11. Los sistemas de información están adecuadamente protegidos en su perímetro, en particular, en su conexión con redes públicas.
12. La monitorización y análisis de actividades indebidas o no autorizadas se realiza sobre la base de un registro de actividad respetuoso con el derecho al honor, intimidad personal y familiar y a la propia imagen de los usuarios, y de acuerdo con la normativa aplicable en protección de datos.
13. Los sistemas de detección y reacción frente a código dañino están adecuadamente implantados y son revisados permanentemente.
14. La continuidad de la actividad se garantiza protegiendo y asegurando la información contra pérdidas de disponibilidad e integridad a través de la política de copias de seguridad.
15. La Seguridad de la información no es algo estático, está constantemente controlada y periódicamente revisada dentro del ciclo de mejora continua PDCA de la organización.
16. El tratamiento de datos de carácter personal debe estar siempre de acuerdo con las leyes aplicables en cada momento, siendo especialmente importantes el Reglamento (UE) 2016/679, de 27 de abril, Relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
5 ORGANIZACIÓN DE LA SEGURIDAD
- Roles y responsabilidades
• Gobierno: Comité SSI. Una figura integrando las siguientes funciones:
o Responsable del Tratamiento.
o Responsable de la Información.
o Responsable del Servicio.
• Supervisión. Una figura, reportando a Dirección, y desarrollando la función de:
o Responsable de la Seguridad.
• Operación. Una figura, reportando a Dirección, e integrando las siguientes funciones:
o Responsable del Sistema.
o Administrador de Seguridad.
Responsable de la Información
• Tiene la facultad de establecer los requisitos, en materia de seguridad, de la información gestionada. Si esta información incluye datos de carácter personal, además deberán tenerse en cuenta los requisitos derivados de la legislación correspondiente sobre protección de datos.
• Determina los niveles de seguridad de la información.
Responsable del Servicio
• Tiene la facultad de establecer los requisitos, en materia de seguridad, de los servicios prestados.
• Determina los niveles de seguridad del servicio.
Responsable de Seguridad
Es el responsable de la definición, coordinación y verificación de cumplimiento de los requisitos de seguridad de la información definidos de acuerdo con los objetivos estratégicos.
Las funciones del Responsable de Seguridad de la Información son las siguientes:
• Coordinar y controlar las medidas de seguridad de la información y de protección de datos de la Organización.
• Supervisar la implantación, mantener, controlar y verificar el cumplimiento de las normas y procedimientos contenidos en la Política de Seguridad de la Información de la Organización y normativa de desarrollo.
• Supervisar los incidentes de seguridad producidos en la Organización.
• Difundir en la Organización las normas y procedimientos contenidos en la Política de Seguridad de la Información y normativa de desarrollo, así como las funciones y obligaciones en materia de seguridad de la información.
• Supervisar y colaborar en las Auditorías internas o externas necesarias para verificar el grado de cumplimiento de la Política de Seguridad, normativa de desarrollo y leyes aplicables en materia de protección de datos personales y de seguridad de la información.
• Asesorar en materia de seguridad de la información a las diferentes áreas operativas de la Organización.
Responsable del Sistema
Es el responsable de asegurar la ejecución de medidas para asegurar los activos y servicios de los sistemas de información, que soportan la actividad de la Organización, de acuerdo con los objetivos de la organización.
Las funciones del Responsable del Sistema son las siguientes:
• Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
• Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
• Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
• Seleccionar y establecer las funciones y obligaciones a los Responsables Técnicos Informáticos encargados de personificar una gestión de la seguridad de los activos de la Organización, conforme a la estrategia de seguridad definida.
• Garantizar que la implantación de nuevos sistemas y de los cambios en los existentes cumple con los requerimientos de seguridad establecidos en la Organización.
• Establecer los procesos y controles de monitorización del estado de la seguridad que permitan detectar las incidencias producidas y coordinar su investigación y resolución.
• El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el Responsable de Seguridad, antes de ser ejecutada.
Delegado de Protección de Datos (DPD)
El rol de Delegado de Protección de Datos está externalizado a través de la empresa GRUPO ADAPTALIA LEGAL FORMATIVO S.L.
• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento de Protección de datos y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
• Supervisar el cumplimiento de lo dispuesto en el Reglamento de Protección de datos, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del Reglamento (UE) 2016/679.
• Cooperar con la autoridad de control.
• Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del Reglamento (UE) 2016/679.
- Coordinación, nombramiento y resolución de conflictos
La coordinación se lleva a cabo en el seno del Comité de Dirección que podrá delegar en el Comité del SSI.
Los nombramientos los establece la Dirección de la organización y se revisan cada 2 años o cuando un puesto queda vacante.
Las diferencias de criterios que pudiesen derivar en un conflicto se tratarán en el seno del Comité del SSI y prevalecerá en todo caso el criterio de la Dirección ejecutiva.
6 FORMACIÓN Y CONCIENCIACIÓN
Las acciones específicas de concienciación y formación relativas al ENS se gestionan a través del SSI por el departamento de RRHH.
7 ANÁLISIS Y GESTIÓN DE RIESGOS
Un correcto análisis, identificación y gestión de los riesgos a los que se encuentran sometidos los activos de información que sustentan los servicios de LEGRAND GROUP ESPAÑA S.L. GROUP ESPAÑA S.L., es primordial para la correcta toma de decisiones de la Dirección de LEGRAND GROUP ESPAÑA S.L. GROUP ESPAÑA S.L.
El análisis de riesgos debe ser realizado:
• Al menos, una vez al año.
• Durante la especificación de un nuevo sistema, para determinar los requisitos de seguridad que deben incorporarse a la solución.
• Durante el desarrollo de un nuevo sistema, para analizar opciones.
• Durante la operación del sistema, para ajustar a nuevos activos, nuevas amenazas, nuevas vulnerabilidades y nuevas salvaguardas.
• Si se producen cambios en la información tratada.
• Si se producen cambios en los servicios suministrados.
• Si se produce un incidente grave de seguridad.
• Si se reportan vulnerabilidades graves.
8 DOCUMENTACIÓN DE SEGURIDAD
La documentación relativa a la Seguridad de la Información estará clasificada en tres niveles, de manera que cada documento de un nivel se fundamenta en los de nivel superior:
• Primer nivel: Política de seguridad.
• Segundo nivel: Normativas y procedimientos de seguridad.
• Tercer nivel: Informes, registros y evidencias electrónicas.
- Primer nivel: Política de seguridad
Directrices de obligado cumplimiento por todo el personal, interno y externo de la organización, recogidas en el presente documento.
- Segundo nivel: Normativas y procedimientos de seguridad
De obligado cumplimiento de acuerdo con el ámbito organizativo, técnico o legal correspondiente.
- Tercer nivel: Informes, registros y evidencias electrónicas
Documentos de carácter técnico que recogen evidencias generadas durante todas las fases del ciclo de vida del sistema de información, así como amenazas y vulnerabilidades de los sistemas de información.
- Otra documentación
Se podrá seguir en todo momento los procedimientos, normas e instrucciones técnicas STIC, así como las guías CCN-STIC que publique el Centro Criptológico Nacional (CCN).
9 DOCUMENTACIÓN
La información documentada asociada al ENS se organiza, codifica y aprueba de acuerdo a los requisitos generales del SSI.
10 PROCESO DE APROBACIÓN Y REVISIÓN
Esta Política de Seguridad es aprobada por la Dirección General y revisada como mínimo, con una periodicidad anual, o cuando las circunstancias técnicas u organizativas lo requieran.
La Dirección se compromete a que su Política de Seguridad de la Información, sea comunicada, implantada y actualizada en todos los niveles de la organización afectados por el alcance, así como a hacerla accesible a todas aquellas partes interesadas. De igual manera, adquiere el firme compromiso de concretar y actualizar los objetivos de Seguridad de la Información mediante las revisiones anuales del SSI llevadas a cabo por la Dirección de la empresa.
Nuestras certificaciones
Desde nuestra fundación, hemos sido probados con regularidad. En el Grupo Legrand, las siguientes certificaciones son una norma:
Grupo Legrand
- ISO 9001:2015
- ISO 14001: 2015
- ISO/IEC 27001:2022
- Certificado ENS (Esquema Nacional de Seguridad)
Legrand AB
- ISO 9001:2015
- ISO 14001:2015
- ISO 45001:2018