Política de Seguridad de la Información y Continuidad de los Servicios de Grupo Legálitas.

31 de marzo de 2021.

1.- Introducción

Grupo LEGÁLITAS sustenta la mayoría de sus actividades de negocio en Sistemas de Información, siendo estos un soporte básico para la operativa interna, la gestión de los servicios y el desarrollo comercial. La información manejada por los diferentes sistemas y aplicaciones, así como la infraestructura de comunicaciones, constituyen, junto a las personas, el activo principal para el normal desarrollo de sus operaciones de negocio.

Por ello, Grupo LEGÁLITAS ha desarrollado esta Política de Seguridad de la Información y Continuidad  de los Servicios, que está constituida por la estructura  organizativa, los recursos humanos y técnicos, los procesos, planes, procedimientos y protocolos relacionados con las medidas de prevención y respuesta frente a posibles incidentes disruptivos que se pudieran producir y los riesgos para la seguridad de la información, de naturaleza física, lógica y en el cumplimento de la regulación normativa aplicable y del buen gobierno corporativo.

El presente documento desarrolla la Política de Seguridad de la Información y Continuidad de los Servicios, para recoger los aspectos particulares relacionados con la seguridad de la información, así como la operación y continuidad de los servicios en los procesos específicos que lleva a cabo la Organización, en diferentes ámbitos y contextos, recogiendo los requisitos determinados que son exigidos por distintas normas y regulaciones que le afectan.

Los requisitos y objetivos de seguridad de la información y aseguramiento de sus operaciones de negocio son determinadas por el Comité del Sistema de Gestión Integrado (CGSI), en base a los criterios derivados de las políticas de Grupo LEGÁLITAS y las necesidades determinadas por los responsables de los activos de información y de los procesos de negocio, siendo su alcance todas las actividades relacionadas con la seguridad física y la seguridad lógica. Su aplicabilidad abarca la prestación de aquellas actividades y servicios que lo son directamente responsable de la seguridad de la propia Organización y también por terceros, siguiendo sus directrices e instrucciones y lo hace desde un enfoque avanzado, completo e integral.

El objeto de esta Política es alcanzar una protección adecuada de los activos de información y recursos que dan soporte a los procesos de negocio de Grupo LEGÁLITAS dentro del alcance definido para el Sistema de Gestión Integrado, preservando los siguientes principios:

• Confidencialidad: garantizar que la información sea accesible sólo para quien esté autorizado a tener acceso a la misma.
• Integridad: garantizar la exactitud y completitud de la información y de los métodos utilizados en su tratamiento y proceso.
• Disponibilidad: garantizar que los usuarios autorizados tienen acceso cuando lo requieran a la información, a sus activos asociados y pueden llevarse a cabo los procesos de negocio con los que realiza su actividad. 
• Privacidad: garantizar el tratamiento adecuado cuando se trate de datos de carácter personal, de acuerdo con la legislación vigente en cada momento.

Estos principios básicos se sirven para preservar y asegurar en cualquiera de las formas que adopte la información, ya sea en formato electrónico, impreso, visual o hablado, e independientemente de que sea tratada en las dependencias de Grupo LEGÁLITAS o fuera de ellas, tratando de asegurar que se puedan mantener las operaciones comprometidas con sus partes interesadas. En consecuencia, esta política establece el marco necesario con el que poder alcanzar la máxima eficiencia y las mejores prácticas en la coordinación de todas sus actividades y servicios.

Para ello es responsabilidad de la Dirección de Grupo LEGÁLITAS y del CGSI, por delegación, promover y apoyar la implantación de todas aquellas medidas técnicas y organizativas necesarias con las que minimizar los riesgos potenciales a los que se encuentra expuesta la información y las actividades de negocio, en la consecución de los objetivos estratégicos de la Organización.

2.- Objeto

Esta política se aplica a todos los sistemas de información y operaciones de Grupo LEGÁLITAS que dan soporte a los servicios y procesos en los que se apoyan las distintas líneas de negocio con los que la organización explota su actividad y que se detallan en el ámbito de actuación del Sistema de Gestión de la seguridad y continuidad de los servicios y de la información, que ha implantado la Organización y que son descritos, en el documento de Alcance y Contexto, así como a todas las personas que tengan acceso a estos sistemas de información y/o presten servicios para Grupo LEGÁLITAS, sin excepciones, debiendo ser conocida y cumplida independientemente del puesto, cargo y responsabilidad.

3.- Legálitas: descripción, misión, visión y valores

Grupo LEGÁLITAS es la principal Legaltech española, líder en asesoramiento jurídico para familias, autónomos y pymes. Ayuda a las personas en su día a día, de una manera sencilla, accesible y eficaz, resolviendo un millón de consultas cada año, a través de más de 800 abogados y una red nacional de 277 despachos por toda España. Ofrece asesoramiento legal, gestión de sanciones de tráfico, gestión de siniestros, seguros de viaje y salud entre otros, que comercializa utilizando diversos canales de distribución, desde hace más de 20 años.

Los clientes de Grupo LEGÁLITAS tienen acceso a los servicios contratados, a través de la asistencia telefónica que es proporcionada desde un Área de Atención Jurídica propia, ubicada en las oficinas de la organización, desarrollada en un modelo de éxito en gestión empresarial propio, que  combina  un  equipo  humano especializado con una  marca  de  reconocido prestigio en  el mercado, para ofrecer soluciones accesibles a nuestros clientes a través de cualificados e importantes canales de distribución, con los que hacer posible su misión de ayudar a las personas en su día a día, de una manera sencilla, accesible y eficaz, creando una relación de confianza duradera.

En este sentido, la visión del Grupo LEGÁLITAS está orientada a “ser la compañía líder en asesoramiento jurídico, creando una cultura de abogacía preventiva en la sociedad” que le permita ser el referente legal en el sector y abanderado del concepto legaltech en España, como empresa tecnológica, innovadora y eficiente, capaz de desarrollar procesos que cada día acerquen, aún más, el abogado al ciudadano.

Para cumplir su misión, grupo LEGÁLITAS sustenta su cultura corporativa en los siguientes valores:

• “Somos inconformistas”: los trabajadores del Grupo LEGÁLITAS cuestionan lo que hacen para mejorar cada día; perseverando y poniéndose objetivos ambiciosos. Solucionando los problemas con creatividad.
• “Estamos comprometidos”: la organización renuncia a intereses individuales para lograr el objetivo común; siendo un equipo honesto y alineado con su misión, visión y valores; construyendo relaciones basadas en la confianza, la colaboración y la transparencia.
• “Superamos las expectativas”: sus empelados dan lo mejor de ellos mismos, sin excusas; cumpliendo sus compromisos y no defraudando; buscando la excelencia en todo lo que hacen.

Dentro de este marco, la seguridad de la información y la continuidad de los servicios, constituyen un aspecto vital, no sólo a nivel de la protección de los activos, personas y procesos de Grupo LEGÁLITAS y de sus clientes, sino también atractivo, por las implicaciones que la constante innovación que ello supone, que permite ofrecer, de esta manera, un valor añadido en los servicios brindados a sus clientes en particular y a la sociedad en general.

4.- Marco normativo

La identificación de las leyes, normativas y regulaciones que son aplicables a la actividad de Grupo LEGÁLITAS para las distintas áreas de negocio y que afectan a la seguridad de la información y la continuidad de sus servicios, es un requisito fundamental para alcanzar sus objetivos de negocio, siendo una actividad que debe desarrollarse de forma continuada, para poder recoger todos los cambios que puedan producirse y las distintas necesidades que afectan a cada área de negocio.

Por tanto, la organización, consciente de esta necesidad, dentro del marco de esta Política de seguridad de la Información y Continuidad de los Servicios, desarrollará los procedimientos adecuados con los que identificar y aplicar los requisitos legales, normativos, regulatorios y contractuales que puedan afectar a la gestión y operación de sus servicios, en el ámbito de la seguridad de la información, actividades de protección y continuidad de las operaciones, comunicando a las partes interesadas dichas obligaciones.

Del mismo modo, tendrá especial relevancia el tratamiento de datos de carácter personal y todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por las  leyes  y  regulaciones  aplicables  a  nivel  internacional,  nacional,  autonómico y  local  que  se desarrollen en las regiones de actuación de Grupo LEGÁLITAS, para la naturaleza y finalidad de los datos, siguiendo el principio de responsabilidad proactiva en la aplicación de las medidas técnicas y organizativas adecuadas con las que garantizar y demostrar que dicho tratamiento es conforme a la normativa aplicable y exigencias de los reguladores.

La relación de leyes, normativas, regulaciones y otras obligaciones contractuales identificadas para cada sistema de gestión implantado relacionado con la seguridad y continuidad de los servicios, se podrán consultar en el registro legislación aplicable que se mantendrá a tal efecto.

Asimismo, Grupo LEGÁLITAS, en cumplimiento de la normativa vigente, asegurará la confidencialidad, integridad y disponibilidad de los  registros  que  pudieran ser  requeridos  por motivos legales y los protegerá frente a posibles pérdidas, destrucción o modificación.

5.- Gestión del riesgo

La gestión de riesgos debe realizarse de manera continua sobre los sistemas de información y otros activos o recursos de los servicios, conforme a los principios de gestión de la seguridad de la información y continuidad de los servicios, basada en los riesgos y su reevaluación periódica.

El Responsable de Seguridad de la Información junto al Responsable de Sistemas y responsable del servicio, son los encargados de realizar los preceptivos análisis de riesgos y de seleccionar las salvaguardas a implantar, siguiendo las pautas de la metodología para el análisis y gestión de riesgos implantada y que es descrita en el documento Metodología de Análisis y Gestión de Riesgos de Grupo Legálitas.

El responsable de la información y el responsable del servicio son los responsables de los riesgos sobre la información y sobre el servicio, respectivamente, y por tanto de aceptar los riesgos residuales calculados en el análisis y de realizar su seguimiento y control sin perjuicio de la posibilidad de delegar esta función.

El proceso de gestión de riesgos, que comprende las fases de identificación de activos, análisis de amenazas, cálculo de la probabilidad e impacto de que se llegarán a producir, así como la selección de medidas de mitigación a aplicar, que han de ser proporcionales a los riesgos y estar justificadas, deberá revisarse una vez al año de forma ordinaria y de manera extraordinaria, cuando se produzcan cambios en la información, en los servicios, ocurran incidentes significativos o sean identificadas vulnerabilidades graves. Dicha revisión, le corresponde al Responsable de Seguridad de la Información, con la colaboración del responsable del sistema del mismo ámbito y el responsable del servicio, quienes presentarán un informe al responsable del Sistema de Gestión Integrado, para su presentación y evaluación por el Comité de Dirección.

6.- Desarrollo de la política

Esta Política establece el marco necesario para alcanzar la máxima eficiencia y las mejores prácticas que se desarrollarán por medio de normativa de seguridad de la información y continuidad de los servicios, que aborde aspectos específicos coordinando estas actividades y las operaciones, persiguiendo en todo caso los siguientes objetivos:

• Evitar e impedir, en la medida de lo posible, cualquier situación de riesgo que pueda interrumpir o limitar el continuo y correcto funcionamiento de la actividad de Grupo Legálitas y, en caso de producirse dicha situación, minimizar y restablecer la normalidad funcional con la mayor rapidez posible mejorando la resiliencia.
• Desarrollar un modelo eficaz basado en un sistema de gestión de seguridad de información y continuidad de los servicios, creado sobre normas nacionales e internacionales y capaces de operar con indicadores de desempeño y cumplimiento.
• Lograr un nivel operativo de seguridad y continuidad óptimo y a la vez económicamente viable para Grupo Legálitas.

Para alcanzar estos objetivos, esta política de seguridad de la información y continuidad de los servicios se desarrollará, con carácter general, de acuerdo con los principios enumerados a continuación que fundamentan su necesidad, naturaleza y cuyo establecimiento evidencia el liderazgo y el compromiso de la Dirección de Grupo LEGÁLITAS respecto del sistema de gestión de la seguridad de la información y la continuidad de los servicios:

• Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional, manteniéndose durante la operación normal de los mismos y en situaciones de contingencia.
• Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de los servicios, así como de los procesos de tratamiento de la información, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección, así como la gestión eficaz de los servicios en los que es procesada.
• Principio de disponibilidad y continuidad:  se  garantizará  un nivel  de disponibilidad  en los sistemas de información, personas y otros medios utilizados en las prestación de los servicios, con la dotación de planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación, ante posibles contingencias graves, con el objetivo prioritario  de la protección y seguridad de las personas, tanto en situación normal como en situación de contingencia, dentro de los márgenes de tiempo requerido para asegurar la supervivencia de la actividad de la Compañía, teniendo en cuenta todas las áreas, proveedores y procesos críticos.
• Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad y continuidad de los sistemas de información, personal  y otros  medios utilizados en  la  prestación de los servicios de Grupo LEGÁLITAS, deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos, sin perjuicio de que se asegurará que los recursos necesarios para los sistemas de gestión estén disponibles.
• Principio de prevención:  se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad de las tecnologías de la información, la gestión de los servicios y la continuidad de las operaciones, garantizando la promoción y divulgación dentro de la cultura empresarial y en nuevos desarrollos de servicios o líneas de negocio.
• Principio de detección y respuesta:  los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia respondiendo eficazmente, a través de los mecanismos establecidos al efecto, a los incidentes de seguridad de la información o aquellos que puedan producir la interrupción en la prestación de los servicios.
• Principio de mejora continua: se revisará el grado de cumplimiento de los objetivos de mejora de la seguridad de la información y continuidad de los servicios, planificados anualmente y el grado de eficacia de los controles para ello implantados, al objeto de adecuarlos a la constante evolución de los riesgos, del entorno tecnológico y contexto operacional de los clientes, proveedores y otros interesados.
• Principio de seguridad, ética, gestión eficiente y continuidad de las operaciones en el ciclo de vida de los servicios: las especificaciones de seguridad, ética, gestión eficiente y continuidad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas que lo soportan, acompañadas de los correspondientes procedimientos de control.
• Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información, la operación de servicios y la continuidad de negocio, estará diferenciada de la responsabilidad sobre la operativa de la prestación de los servicios.

Es responsabilidad del Comité del Sistema de Gestión Integrado, constituido en la Compañía, por delegación de la Dirección, promover y apoyar la implantación de las medidas técnicas operacionales y organizativas necesarias para minimizar los riesgos potenciales a los que se encuentra expuesta la información y los procesos operativos, dentro de su alcance, en la consecución de los objetivos estratégicos y tácticos del negocio.

Grupo Legálitas, consciente de que el mantenimiento y gestión de la seguridad de los Sistemas de Información y Continuidad de los Servicios va íntimamente ligada al establecimiento de una estructura organizativa que promueva y supervise la aplicación de los objetivos fijados anteriormente. Por ello ha establecido una estructura organizativa mediante la identificación y definición de diferentes funciones y responsabilidades en materia de gestión de la seguridad de la información y de la continuidad de los servicios, que la soporte.

Esta estructura se materializa en el Comité del Sistema de Gestión Integrado (CSGI) implantado que se encarga de definir la estrategia que permita establecer los mecanismos técnicos y organizativos necesarios para detectar, prevenir y evitar los riesgos derivados de acciones humanas sobre sus sistemas de información, como pueden ser, fraude, sabotaje, robos, errores y otros, así como establecer protocolos de actuación que permitan afrontar los incidentes disruptivos que se puedan producir en la operación de los servicios. Estos mecanismos se establecerán de acuerdo con las recomendaciones, buenas prácticas y requisitos de los estándares que al respecto son los más difundidos a nivel internacional, siguiendo los principios de buena fe y diligencia.

En caso de producirse conflictos de competencias, la máxima instancia para su resolución, dentro del ámbito de la gestión de la seguridad de la información y continuidad de los servicios en Grupo LEGÁLITAS, será su Dirección.

La organización de la gestión de la seguridad de la información y la continuidad de negocio de Grupo LEGÁLITAS, se basará en un cuerpo normativo que será de obligado cumplimiento. Esta normativa estará a disposición de todo el personal de la Organización que necesiten conocerla, en particular para aquellas involucradas en la administración y prestación de los servicios, así como de los sistemas de información y de comunicaciones que los soportan, según el nivel de conocimiento que por su desempeño requieran.

7.- Obligaciones

Todo el personal de Grupo LEGÁLITAS, así como terceras personas de proveedores y contratistas tienen la obligación de conocer y cumplir esta norma de seguridad de la información y continuidad de los servicios, así como la normativa que la desarrolle, siendo responsabilidad del Comité de Gestión Integrado constituido en la Organización, disponer los medios necesarios para que la información llegue a todas ellas.

El incumplimiento manifiesto de la Política de Seguridad de la Información y Continuidad de los Servicios, o la normativa y procedimientos derivados de ésta, podrá acarrear el inicio de las medidas disciplinarias oportunas y, en su caso, las responsabilidades legales a las que pudieran dar lugar.

El Comité del Sistema de Gestión Integrado (CSGI) establecerá los mecanismos y medios de reporte relacionado con la Seguridad de la Información y Continuidad de Servicios que puedan necesitar las partes interesadas, como pueden ser empleados, proveedores, accionistas, propietarios o autoridades y se reportará con la periodicidad que considere necesaria para cada uno de los grupos de interés que solicite la información.

8.- Terceras partes

Cuando Grupo LEGÁLITAS preste servicios a otras organizaciones o entidades se les hará partícipes de esta Política de seguridad y continuidad de los servicios, tratando de establecer canales para reporte y coordinación del Comité de Gestión Integrado, para establecer los procedimientos de actuación para la reacción ante incidentes.

En el caso de que sea Grupo LEGÁLITAS quien utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de seguridad de la información y continuidad de los servicios, de la normativa que la desarrolla, que atañe a los servicios contratados o la información tratada. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la normativa que le aplique, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.

Se establecerán procedimientos específicos de reporte y resolución de incidencias y se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información y continuidad de los servicios, al menos al mismo nivel que el establecido en esta Política.

Grupo Legálitas podrá contar con empresas y organismos externos que ayuden a mejorar sus sistemas de seguridad, mediante la contratación de auditorías, asistencias técnicas o trabajos y desarrollos especializados.

9.- Formación y concienciación

Lograr la plena conciencia respecto a que la seguridad de la información y continuidad de los servicios afecta a todo el personal de la Organización y a todas sus actividades, constituyendo un objetivo de primer orden para grupo Legálitas. Por consiguiente, la Organización, desde el patrocinio del Comité de Gestión Integrado, propondrá y organizará, sesiones formativas y de concienciación, para que todo su personal y otras partes interesadas externas, tengan una sensibilidad adecuada respecto a los riesgos que acechan en la, protección de la información y continuidad de los servicios prestados.

El Comité de Gestión Integrado aprobará una Política de Formación y Concienciación en el tratamiento seguro de la información y continuidad de los servicios que implementarán las distintas áreas, con los siguientes objetivos:

• Capacitación sobre la protección de la información y de los datos de carácter personal, orientada a los responsables de los datos y hacia los usuarios con privilegios sobre los mismos.
• Capacitación   sobre   la   política, normas   y   procedimientos   de   seguridad implantados y los riesgos existentes, así como los relacionados con el aseguramiento de los procesos y operaciones.
• Capacitación en la identificación de incidentes disruptivos, la comunicación de estos, protocolos de actuación y recuperación, así como de todos  aquellos aspectos que afecten a la continuidad de las operaciones y servicios.

10.- Auditorías

El sistema de gestión de la seguridad de la información y continuidad de los servicios, implantado en Grupo Legálitas, será objeto de una auditoría regular ordinaria, interna y externa, que verifique el cumplimiento de los requerimientos de cada una de las normas que dan cumplimiento, según lo establecido en los requisitos de los propios esquemas de certificación que les sea de aplicación y que serán definidos en el correspondiente documento normativo que a tal efecto se establezca.

Asimismo, con carácter extraordinario, deberá realizarse dicha auditoría siempre que se lleven a cabo modificaciones sustanciales en los sistemas de información y las operaciones en las que se sustentan los servicios y que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas, en los protocolos de actuación o en el aseguramiento de las operaciones.
Los informes de auditoría quedarán a disposición del Comité del Sistema de Gestión Integrado implantado, que los evaluarán para su presentación a la Dirección para su revisión. Estos informes serán utilizados como medida del desempeño de la operación y mantenimiento del sistema de gestión de la seguridad de la información y continuidad de los servicios implantado y base para su mejora continua.

El responsable del Sistema de Gestión Integrado debe gestionar las No Conformidades, Observaciones y Oportunidades de mejora detectadas de forma que se establezcan las correspondientes acciones correctivas.

El Sistema de Gestión Integrado se enmarca en el ciclo de Deming (ciclo PDCA), basado en la planificación de actividades, su implantación y operación, revisión y posterior mejora. Todo ello aplicado a la seguridad de la información y la continuidad de los servicios.

11.- Aprobación y revisión de la Política

El texto de esta Política de Seguridad de la Información y Continuidad de los Servicios es aprobado por la dirección de Grupo LEGÁLITAS y es efectiva hasta que sea reemplazada por una nueva Política de la Seguridad de la Información y Continuidad de los Servicios.

En consecuencia, este texto anula la anterior Política de Seguridad de la Información y Continuidad de los Servicios de igual rango vigente, aprobada por el mismo órgano en fecha anterior.

Será misión de la dirección de Grupo LEGÁLITAS la revisión de esta política a través de la propuesta de modificación y mantenimiento que realice el Comité de Gestión Integrado que se ha implantado en la organización, de forma periódica o cuando se produzcan supuestos que podrán originar su revisión, entre los que se encuentran:

• Propuestas de mejora formuladas por las auditorías efectuadas u otras partes interesadas.
• Cambio en la legislación vigente referente a lo que esta Política expresa.
• Cambios tecnológicos u operativos significativos.

Desde la Dirección de Grupo Legálitas, se considera que, a través de las acciones indicadas en todos los principios identificados en la presente Política, se asegurará el cumplimiento de todos los objetivos de la organización, garantizando su buena imagen y reputación, asegurando la satisfacción del personal, clientes, proveedores y otras partes interesadas, asumiendo que todas estas acciones permiten asegurar y cumplir con el compromiso de satisfacer sus necesidades.

12.- Responsabilidades

Será misión del Comité de Gestión Integrado implantado la revisión anual de esta Política de Seguridad de la Información y Continuidad de los Servicios, proponiendo su modificación o mantenimiento de esta para su ratificación por la Dirección de Grupo LEGÁLITAS y difundida para que la conozcan todas las partes afectadas.

13.- Incumplimiento de la Política

El incumplimiento de esta política podrá dar lugar a que Grupo Legálitas inicie acciones disciplinarias y ejercite sus derechos mediante los procedimientos legales establecidos.

En caso de existir alguna excepción a esta política, se realizará una evaluación del riesgo específico e individualizado, examinándose las posibles consecuencias que dicha excepción pudiera conllevar. Estas excepciones serán presentadas por el responsable del Sistema de Gestión Integrado al Comité del Sistema de Gestión Integrado quién se encargará de su revisión y comunicación al Comité de dirección para su aprobación, documentando en cada caso, los criterios para la resolución tomada al respecto.