Política de Seguridad de la información (ENS)

APROBACIÓN Y ENTRADA EN VIGOR

Texto aprobado el día 31/03/2026 por Comité de Seguridad de la Información

Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

 

INTRODUCCIÓN

INERTTIA BUSINESS SOLUTIONS, S.L. depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.

 

PREVENCIÓN

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

· Autorizar los sistemas antes de entrar en operación.

· Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.

· Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

 

DETECCIÓN

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.

Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

 

RESPUESTA

Los departamentos deben:

· Establecer mecanismos para responder eficazmente a los incidentes de seguridad.

· Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.

· Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

 

RECUPERACIÓN

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

 

ALCANCE

Esta política se aplica a todos los sistemas TIC de INERTTIA BUSINESS SOLUTIONS, S.L. y a todos los miembros de la organización, sin excepciones.

 

MISIÓN

La misión de INERTTIA BUSINESS SOLUTIONS, S.L. es garantizar que las empresas estén siempre conectadas y protegidas, diseñando e implementando instalaciones de seguridad, preparadas para el futuro, y adaptadas al ritmo del negocio, con un enfoque en la mejora continua y la sostenibilidad.

 

MARCO NORMATIVO

Como legislación y normativa aplicable a nuestra actividad, tenemos:

· Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

· Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

· Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico

· Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.

 

ORGANIZACIÓN DE LA SEGURIDAD

COMITÉS: FUNCIONES Y RESPONSABILIDADES

El Comité de Seguridad de la Información, que coordina la seguridad de la información en la entidad.

El Comité de Seguridad TIC está formado por:

– Dirección General

– Responsable de Sistema de gestión/ Responsable de Seguridad

– Responsable de información (Secretario/a)

– Responsable de Servicio: Sistemas SAT

– Responsable de Servicio: Desarrollo

– Responsable de Servicio: GESTTIA

– Responsable de Sistemas IT

 

El Secretario del Comité de Seguridad TI será La responsable de Sistemas de gestión y tendrá como funciones:

a. Convocar las reuniones del Comité de Seguridad de la Información, atendiendo a las instrucciones del presidente del Comité.

b. Preparar los temas a tratar en las reuniones del Comité, recabando la información de los diferentes responsables.

c. Elaborar el acta de las reuniones.

d. Remitir el acta de las reuniones a los asistentes, recabando su firma.

e. Conservar las actas, de acuerdo con los criterios de conservación documental de la entidad.

 

ROLES: FUNCIONES Y RESPONSABILIDADES

 

El Comité tiene las siguientes funciones:

a. Atender las inquietudes que, en materia de seguridad, se planteen desde la Dirección de la entidad y de los diferentes departamentos.

b. Informar y ser informado regularmente del estado de la seguridad de la información a la Dirección.

c. Promover la mejora continua del sistema de gestión de la seguridad de la información, con la aprobación de planes específicos.

 

d. Elaborar la estrategia de evolución de la organización en lo que respecta a seguridad de la información.

e. Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, que están alineados con la estrategia decidida en la materia, evitando duplicidades.

f. Controlar periódicamente el grado de cumplimiento de las medidas propuestas para reducir el riesgo residual (pudiendo proponer acciones de mejora) y el correcto funcionamiento del procedimiento de gestión e incidentes, velando por la coordinación de las diferentes áreas de seguridad en la gestión de tales incidentes

g. Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su aprobación por la Dirección (o por el órgano competente) y aprobar la Normativa de Seguridad de la información

h. Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo/entidad en materia de seguridad.

i. Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.

j. Velar porque se respete el principio de seguridad desde el diseño, pudiendo requerir el asesoramiento el Responsable de la Seguridad, en todas aquellas iniciativas de la entidad que afecten a la seguridad de la información o de los sistemas. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas en el ámbito de aplicación del ENS.

k. Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la organización, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

 

Funciones del/ la Responsable de Seguridad de la Información

a. La determinación de la categoría de seguridad del sistema, con base en las valoraciones de los Responsables de la Información y del Servicio

b. Elaborar y aprobar la Declaración de Aplicabilidad, atendiendo a los requerimientos del Responsable de la Información y del Servicio

c. Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas TIC en su ámbito de responsabilidad.

d. Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones

e. Formalización y aprobación de las medidas seleccionadas del Anexo II en la Declaración de Aplicabilidad, incluyendo las medidas compensatorias o complementarias de vigilancia y su correspondencia con las medidas del Anexo II antes citado.

f. Comprobar que las medidas de seguridad de la información han sido adecuadamente implementadas por el Responsable del Sistema.

g. Análisis de los informes de Auditoria de primera, segunda o tercera parte que se refieran a los sistemas de su ámbito competencial, y presentación de sus conclusiones al Responsable del Sistema y, en su caso, al Comité de Seguridad de la Información.

h. Aprobación explicita de los cambios que impliquen un riesgo de nivel ALTO con carácter previo a su implantación protección de datos que sean fijados por el responsable o por el encargado del tratamiento, contando con el asesoramiento del DPD.

i. Participar en la elaboración y en la propuesta de la Política de Seguridad de la Información y los procedimientos, normativas e instrucciones en aplicación del ENS.

j. Analizar los riesgos antes del despliegue de los sistemas de inteligencia artificial en la entidad, atendiendo a las valoraciones del Responsable de la Información y del Servicio y, en su caso, del Delegado de Protección de Datos y supervisar su despliegue.

k. Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.

l. Cuando el sistema trate datos personales, el Responsable de la Seguridad recogerá los requisitos del RGPD.

m. Realizar o promover las autoevaluaciones o auditorías periódicas que permitan verificar el cumplimiento del ENS.

n. En la gestión de los ciberincidentes, contando con los responsables de la entidad, de la información y de los servicios, calificará la peligrosidad de estos de acuerdo a la Guía CCN-STIC 817, actuando como punto de contacto con las autoridades competentes en materia de seguridad y, en función de los roles asignados en la Política podrá notificar los mismos, en su caso, al CCN-CERT. Cuando fuese precisa la notificación al CSIRT de referencia está deberá realizarse sin dilaciones indebidas y con carácter inmediato, sin perjuicio de la remisión de información ampliada de forma paulatina.

o. Verificar que las medidas de seguridad establecidas son adecuadas para la protección de la información manejada y los servicios prestados.

p. Analizar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.

q. Monitorizar el estado de seguridad del sistema, que podrá ser proporcionado por elementos específicos, tales como herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.

r. Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución.

s. Elaborar el informe periódico de seguridad para la alta dirección de la entidad local, incluyendo los incidentes más relevantes del periodo.

t. Por otro lado, el Responsable de la Seguridad colaborará con el Delegado de Protección de Datos de la Entidad en la gestión de los incidentes que afecten a datos personales y, en su caso, a la notificación a las autoridades de control y a las personas afectadas.

 

Funciones del / la Responsable de Sistemas IT

a. Se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad

b. Adopta las medidas correctoras adecuadas derivadas de los informes de Auditoría de primera, segunda o tercera parte, según las conclusiones trasladadas por el Responsable de la Seguridad.

c. Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.

d. En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría y atendiendo a una eventual gravedad de las deficiencias encontradas, podrá suspender temporalmente el tratamiento de informaciones, la prestación de servicios o la total operación del sistema, hasta su adecuada subsanación o mitigación

e. En la gestión de incidentes de seguridad (ciberincidentes) podrá, de acuerdo con el Responsable de la Seguridad, suspender de forma cautelar y urgente el tratamiento de la información y la prestación de los servicios como medida de contención. Dicha suspensión deberá ser comunicada al Titular de la entidad y a los responsables de la información y del servicio y, en caso de afección a datos personales al Delegado de Protección de Datos y si afecta a la tramitación administrativa, a los servicios jurídicos de la entidad para, en su caso, proceder a la suspensión de los plazos.

f. Mantiene la lista actualizada de usuarios autorizados

g. Configuración del sistema operativo, aplicaciones tanto de estaciones y servidores como electrónica de red del sistema

h. Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.

i. Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.

j. Verificar el cumplimiento, detectar las desviaciones que se produzcan en el Sistema, recomendar y canalizar mejoras y comprobar y evaluar la puesta en marcha y eficacia de las mismas.

k. Acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos

l. Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución.

 

Funciones del/ la Responsable de información

 

a. Determina los requisitos (de seguridad) de la información tratada

b. Efectúa las valoraciones a las que se refiere el artículo 40 del ENS (categorías de seguridad), así como, en su caso, su posterior modificación

c. Recibe información sobre los incidentes y de las actuaciones realizadas para su resolución.

d. Determinación de los criterios para asignar y modificar a cada información el nivel de seguridad requerido, y será responsable de su documentación y aprobación formal

e. Establecer los requisitos/niveles de la información en materia de seguridad teniendo en cuenta la Política de seguridad.

f. Asumir la responsabilidad última de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.

 

Funciones del / la Responsables de Servicios (Servicio SAT, Desarrollo y GESTTIA)

a. Determinará los requisitos de los servicios prestados.

b. Efectuará las valoraciones a las que se refiere el artículo 40 (categorías de seguridad), así como, en su caso, su posterior modificación.

c. Será informado de los incidentes y de las actuaciones llevadas a cabo para su resolución

d. Establecer los requisitos/niveles del servicio en materia de seguridad teniendo en cuenta la Política de seguridad.

 

PROCEDIMIENTOS DE DESIGNACIÓN

El Responsable de Seguridad de la Información será nombrado por Gerencia a propuesta del Comité de Seguridad TIC. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.

El Departamento responsable de un servicio que se preste electrónicamente de acuerdo a la Ley 11/2007 designará al Responsable del Sistema, precisando sus funciones y responsabilidades dentro del marco establecido por esta Política.

 

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Será misión del Comité de Seguridad TIC la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por Gerencia y difundida para que la conozcan todas las partes afectadas.

 

DATOS DE CARÁCTER PERSONAL

INERTTIA BUSINESS SOLUTIONS, S.L. trata datos de carácter personal. El Documento de Seguridad, al que tendrán acceso sólo las personas autorizadas, recoge los tratamientos afectados y los responsables correspondientes. Todos los sistemas de información de INERTTIA BUSINESS SOLUTIONS, S.L. se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.

 

GESTIÓN DE RIESGOS

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

· regularmente, al menos una vez al año

· cuando cambie la información tratada

· cuando cambien los servicios prestados

· cuando ocurra un incidente grave de seguridad

· cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité

de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

 

 

DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Esta Política de Seguridad de la Información complementa las políticas de seguridad de INERTTIA BUSINESS SOLUTIONS, S.L. en diferentes materias:

· Política de contraseñas

· Política de control accesos

· Política de uso aceptable de activos

· Política de controles criptográficos

· Guía de usuario

· Etc.

 

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

Estas políticas y documentación, serán entregada y explicadas al personal de forma inicial, al comienzo de implementación de este sistema de gestión (para personal ya existente) y en el momento de incorporación a la empresa.

También estarán disponibles, dentro de servidor, en carpeta de POLITICAS, para su consulta por todo el personal de la empresa con acceso a servidor, y/o publicadas en tablón físico de anuncios, o comunicadas por WhatsApp, en función del tipo de política y destinatario.

 

OBLIGACIONES DEL PERSONAL

Todos los miembros de INERTTIA BUSINESS SOLUTIONS, S.L. tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de INERTTIA BUSINESS SOLUTIONS, S.L. atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de la empresa, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo

 

TERCERAS PARTES

Cuando INERTTIA BUSINESS SOLUTIONS, S.L. preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando INERTTIA BUSINESS SOLUTIONS, S.L. utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.