Política de Seguridad de la Información y Continuidad de los Servicios de Grupo Legálitas.
04 de diciembre de 2024.
1. Introducción
1.1 Antecedentes
Legálitas1 sustenta la mayoría de sus actividades de negocio en Sistemas de Información, siendo estos un soporte básico para la operativa interna, la gestión de los servicios y el desarrollo comercial. La información manejada por los diferentes sistemas y aplicaciones, así como la infraestructura de comunicaciones, constituyen, junto a las personas, el activo principal para el normal desarrollo de sus operaciones de negocio.
Por ello, Legálitas ha desarrollado esta Política de Seguridad de la Información y Continuidad de los Servicios (en adelante “Política de Seguridad y Continuidad”), que está constituida por la estructura organizativa, los recursos humanos y técnicos, los procesos, planes, procedimientos y protocolos relacionados con las medidas de prevención y respuesta frente a posibles incidentes disruptivos que se pudieran producir y los riesgos para la seguridad de la información, de naturaleza física, lógica y en el cumplimento de la regulación normativa aplicable y del buen gobierno corporativo.
El presente documento desarrolla la Política de Seguridad y Continuidad, para recoger los aspectos particulares relacionados con la seguridad de la información, así como la operación y continuidad de los servicios en los procesos específicos que lleva a cabo la Organización, en diferentes ámbitos y contextos, recogiendo los requisitos determinados que son exigidos por distintas normas y regulaciones que le afectan.
Los requisitos y objetivos de seguridad de la información y aseguramiento de sus operaciones de negocio son determinadas por el Comité del Sistema de Gestión Integrado (CGSI), en base a los criterios derivados de las políticas de Legálitas y las necesidades determinadas por los responsables de los activos de información y de los procesos de negocio, siendo su alcance todas las actividades relacionadas con la seguridad física y la seguridad lógica. Su aplicabilidad abarca la prestación de aquellas actividades y servicios que tengan relación con la seguridad de la propia Organización y también con terceros, siguiendo sus directrices e instrucciones y lo hace desde un enfoque avanzado, completo e integral.
Legálitas ha procedido a la redacción de la Política de Seguridad y Continuidad, que determina las responsabilidades en materia de seguridad y continuidad, evalúa los riesgos que pudieran provocar una interrupción del negocio y establece los pasos a seguir para prevenir y abordar estas situaciones, determinando un alcance objetivo sobre aquellos servicios más críticos de negocio y llevando a cabo un análisis de estos procesos, definiendo distintos escenarios de desastre y sus correspondientes planes de acción para mitigar su impacto.
Legálitas se encuentra Certificada en los sistemas de gestión ISO 27001 e ISO 22301, por la empresa BSI en el ámbito UKAS Management System, en lo que respecta a determinadas actividades entre las que se encuentran el asesoramiento jurídico, la atención al cliente, la gestión de siniestros y el contact center comercial.
1.2 Marco normativo
La identificación de las leyes, normativas y regulaciones que son aplicables a la actividad de Legálitas para las distintas áreas de negocio y que afectan a la seguridad de la información y la continuidad de sus servicios, es un requisito fundamental para alcanzar sus objetivos de negocio, siendo una actividad que debe desarrollarse de forma continuada, para poder recoger todos los cambios que puedan producirse y las distintas necesidades que afectan a cada área de negocio.
Por tanto, la organización, consciente de esta necesidad, dentro del marco de esta Política de seguridad de la Información y Continuidad de los Servicios, desarrollará los procedimientos adecuados con los que identificar y aplicar los requisitos legales, normativos, regulatorios y contractuales que puedan afectar a la gestión y operación de sus servicios, en el ámbito de la seguridad de la información, actividades de protección y continuidad de las operaciones, comunicando a las partes interesadas dichas obligaciones.
Del mismo modo, tendrá especial relevancia el tratamiento de datos de carácter personal y todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por las leyes y regulaciones aplicables a nivel internacional, nacional, autonómico y local que se desarrollen en las regiones de actuación de Legálitas, para la naturaleza y finalidad de los datos, siguiendo el principio de responsabilidad proactiva en la aplicación de las medidas técnicas y organizativas adecuadas con las que garantizar y demostrar que dicho tratamiento es conforme a la normativa aplicable y exigencias de los reguladores.
La relación de leyes, normativas, regulaciones y otras obligaciones contractuales identificadas para cada sistema de gestión implantado relacionado con la seguridad y continuidad de los servicios, se podrán consultar en el registro legislación aplicable que se mantendrá a tal efecto.
Asimismo, Legálitas, en cumplimiento de la normativa vigente, asegurará la confidencialidad, integridad, autenticidad y disponibilidad de los registros que pudieran ser requeridos por motivos legales y los protegerá frente a posibles pérdidas, destrucción o modificación.
Legálitas aplicará las normas teniendo en cuenta su tamaño y perfil de riesgo general, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones siguiendo el principio de proporcionalidad.
1.3 Ámbito de aplicación
Esta política se aplica a todos los sistemas de información y operaciones de Legálitas que dan soporte a los servicios y procesos en los que se apoyan las distintas líneas de negocio con los que la organización explota su actividad y que se detallan en el ámbito de actuación del Sistema de Gestión de la seguridad y continuidad de los servicios y de la información, que ha implantado la Organización y que son descritos, en el documento de Alcance y Contexto, así como a todas las personas que tengan acceso a estos sistemas de información y/o presten servicios para Legálitas, sin excepciones, debiendo ser conocida y cumplida independientemente del puesto, cargo y responsabilidad.
1.4 Objetivos y principios
Mediante la implementación de esta política, Legálitas busca obtener la seguridad razonable de que las medidas de seguridad y los riesgos a los que están expuestos las TIC (Tecnologías de la Información y la Comunicación), así como aquellos que pudieran provocar la interrupción del negocio, se están gestionando correctamente, con la finalidad de proteger la información de Legálitas y la continuidad de su actividad, y por tanto, de prevenir el daño que los ataques a nuestros sistemas y a nuestras instalaciones o equipos puedan provocar a nivel económico, posicional o reputacional.
Para ello, es preciso definir la línea de base de seguridad; y fomentar una adecuada gestión de los riesgos de seguridad y continuidad del negocio.
La política de Seguridad y Continuidad establece el marco necesario para alcanzar la máxima eficiencia y las mejores prácticas que se desarrollarán por medio de normativa de seguridad de la información y continuidad de los servicios, que aborde aspectos específicos coordinando estas actividades y las operaciones, persiguiendo en todo caso los siguientes objetivos:
- Preservar la confidencialidad, integridad, autenticidad, y disponibilidad de la información y los datos.
- Prever y registrar los incidentes.
- Garantizar la continuidad de las funciones críticas.
- Garantizar una respuesta y resolución rápida.
- Desplegar medidas de contención.
- Estimar impactos.
- Instar acciones de comunicación.
- Desarrollar un modelo eficaz basado en un sistema de gestión de seguridad de información y continuidad de los servicios, creado sobre normas nacionales e internacionales y capaces de operar con indicadores de desempeño y cumplimiento.
- Lograr un nivel operativo de seguridad y continuidad óptimo y económicamente viable para el Grupo.
Para alcanzar estos objetivos, esta política de seguridad de la información y continuidad de los servicios se desarrollará, con carácter general, de acuerdo a los principios enumerados a continuación que fundamentan su necesidad, naturaleza y cuyo establecimiento evidencia el liderazgo y el compromiso de la Dirección de Legálitas respecto del sistema de gestión de la seguridad de la información y la continuidad de los servicios:
- Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional, manteniéndose durante la operación normal de los mismos y en situaciones de contingencia.
- Principio de privacidad: garantizar el tratamiento adecuado cuando se trate de datos de carácter personal, de acuerdo con la legislación vigente en cada momento.
- Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de los servicios, así como de los procesos de tratamiento de la información, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección, así como la gestión eficaz de los servicios en los que es procesada.
- Principio de disponibilidad y continuidad: se garantizará un nivel de disponibilidad en los sistemas de información, personas y otros medios utilizados en las prestación de los servicios, con la dotación de planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación, ante posibles contingencias graves, con el objetivo prioritario de la protección y seguridad de las personas, tanto en situación normal como en situación de contingencia, dentro de los márgenes de tiempo requerido para asegurar la supervivencia de la actividad de la Compañía, teniendo en cuenta todas las áreas, proveedores y procesos críticos.
- Principio de autenticidad: se garantizará que los datos utilizados, almacenados, procesados o transmitidos en los sistemas sean confiables, auténticos, estén protegidos, y provengan de fuentes verificadas con controles, medidas y procesos diseñados para prevenir alteraciones, suplantaciones o accesos ilícitos.
- Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad y continuidad de los sistemas de información personal y otros medios utilizados en la prestación de los servicios de Legálitas, deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos, sin perjuicio de que se asegurará que los recursos necesarios para los sistemas de gestión estén disponibles.
- Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad de las tecnologías de la información, la gestión de los servicios y la continuidad de las operaciones, garantizando la promoción y divulgación dentro de la cultura empresarial y en nuevos desarrollos de servicios o líneas de negocio.
- Principio de detección y respuesta: los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia respondiendo eficazmente, a través de los mecanismos establecidos al efecto, a los incidentes de seguridad de la información o aquellos que puedan producir la interrupción en la prestación de los servicios.
- Principio de mejora continua: se revisará el grado de cumplimiento de los objetivos de mejora de la seguridad de la información y continuidad de los servicios, planificados anualmente y el grado de eficacia de los controles para ello implantados, al objeto de adecuarlos a la constante evolución de los riesgos, del entorno tecnológico y contexto operacional de los clientes, proveedores y otros interesados.
- Principio de seguridad, ética, gestión eficiente y continuidad de las operaciones en el ciclo de vida de los servicios: las especificaciones de seguridad, ética, gestión eficiente y continuidad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas que lo soportan, acompañadas de los correspondientes procedimientos de control.
- Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información, la operación de servicios y la continuidad de negocio, estará diferenciada de la responsabilidad sobre la operativa de la prestación de los servicios.
Es responsabilidad del Comité del Sistema de Gestión Integrado, constituido en la Compañía, por delegación de la Dirección, promover y apoyar la implantación de las medidas técnicas operacionales y organizativas necesarias para minimizar los riesgos potenciales a los que se encuentra expuesta la información y los procesos operativos, dentro de su alcance, en la consecución de los objetivos estratégicos y tácticos del negocio.
Legálitas, consciente de que el mantenimiento y gestión de la seguridad de los Sistemas de Información y Continuidad de los Servicios va íntimamente ligada al establecimiento de una estructura organizativa que promueva y supervise la aplicación de los objetivos fijados anteriormente. Por ello ha establecido una estructura organizativa mediante la identificación y definición de diferentes funciones y responsabilidades en materia de gestión de la seguridad de la información y de la continuidad de los servicios, que la soporte.
Esta estructura se materializa en el Comité del Sistema de Gestión Integrado (CSGI) implantado que se encarga de definir la estrategia que permita establecer los mecanismos técnicos y organizativos necesarios para detectar, prevenir y evitar los riesgos derivados de acciones humanas sobre sus sistemas de información, como pueden ser, fraude, sabotaje, robos, errores y otros, así como establecer protocolos de actuación que permitan afrontar los incidentes disruptivos que se puedan producir en la operación de los servicios. Estos mecanismos se establecerán de acuerdo con las recomendaciones, buenas prácticas y requisitos de los estándares que al respecto son los más difundidos a nivel internacional, siguiendo los principios de buena fe y diligencia.
En caso de producirse conflictos de competencias, la máxima instancia para su resolución, dentro del ámbito de la gestión de la seguridad de la información y continuidad de los servicios en Legálitas, será su Dirección.
1.5 Definiciones
Seguridad de las TIC: Es la práctica de defender los sistemas informáticos de las amenazas originadas por la exposición tecnológica de la compañía.
Fuga de información (data breach): Supone el robo de algún dispositivo o el acceso a los sistemas con el objetivo de robar información confidencial o de carácter sensible, puede provocar también un daño en los procesos de Legálitas o bloquear e impedir a los usuarios la utilización de los sistemas de información.
Los tipos de malware o delitos digitales más comunes, que pueden afectar al Grupo son:
- PHISING: robo de información personal y/o financiera del usuario, a través de la falsificación de un ente de confianza.
- SPYWARE: Aplicación que recopila información sobre una persona u organización sin su conocimiento ni consentimiento.
RANSOMWARE: Código malicioso que cifra la información del ordenador, la víctima, debe pagar al atacante una suma de dinero, para recuperar los archivos.
- GUSANOS: Son un subconjunto de malware. Los gusanos pueden reproducirse utilizando diferentes medios de comunicación como las redes locales, el correo electrónico, los programas de mensajería instantánea etc.
- TROYANO: Programa alojado dentro de otra aplicación normal. Su objetivo es instalarse en el sistema cuando se ejecuta el archivo “huésped”. Se utiliza para la instalación de otros malware.
Ciberriesgos: Son los riesgos que se originan al hacer uso de la informática, el creciente uso de los ordenadores y otros dispositivos móviles aumenta la posibilidad de sufrir ciber ataques. La fuga de información es el ciberriesgo más importante, al que hace frente el Grupo.
2. Gobernanza, Funciones y Responsabilidades
La presente Política de Seguridad y Continuidad tiene una responsabilidad compartida entre la Dirección de Sistemas y la Función de Seguridad de la Información. Esta Función, junto con la Dirección de Sistemas serán los responsables de revisar y actualizar anualmente esta Política, presentarla ante el Consejo de Administración y de velar por que el proceso de supervisión de Seguridad y Continuidad se realice conforme a lo recogido en la misma.
No obstante, el Consejo de Administración de Legálitas será el último responsable de garantizar la eficacia de la Política de Seguridad y Continuidad implantada.
Intervinientes | Responsabilidades |
Consejo de Administración | Aprobación de la Política y responsable último de la misma. |
Dirección General | Implantar la Política de Seguridad y Continuidad conforme a las directrices emanadas por el Consejo de Administración. |
Función de Seguridad de la Información | Corresponsable, junto con la Dirección de Sistemas, de actualizar y mantener la presente política, proponiendo los cambios que procedan para su debida aprobación por el Consejo de Administración. |
Dirección de Sistemas | Corresponsable, junto con la Función de Seguridad de la Información, de actualizar y mantener la presente política, proponiendo los cambios que procedan para su debida aprobación por el Consejo de Administración. |
Comité SGI | El Comité del Sistema de Gestión Integrado (CSGI) depende de la Dirección de Legálitas, que está presente en el mismo a través de tres miembros del CODIR y su composición será una representación de las distintas áreas y departamentos: |
Gestión de Riesgos | Coordinar la integración y gestión de los riesgos de Seguridad de las TIC y Continuidad de Negocio y de acuerdo a su Sistema de Gobierno. |
Auditoría Interna | Revisar la Política de Seguridad y Continuidad. |
2.1 Compromiso de la dirección
Este apartado tiene como objeto hacer constar el compromiso de la Dirección de Legálitas y demostrar su liderazgo, asegurando la adecuada dirección y coordinación de los procesos para que sean llevados a cabo con éxito y cumpliendo todo lo dispuesto en las leyes, normativas y regulaciones que son aplicables a la actividad de Legálitas.
Por este motivo, la Dirección se compromete, a través del presente documento, a participar, promover y liderar las siguientes actividades:
1.Asegurar que se establece una Política de Continuidad del Negocio y de Seguridad de la Información que se definen objetivos de continuidad y seguridad asociados para el SGI, y que éstos son compatibles con los objetivos estratégicos de la Organización, especialmente en aquellos que tienen que ver con las TIC.
2.Asegurar la integración de los requisitos del SGI en los procesos de negocio de Legálitas.
3.Proporcionar los recursos necesarios para el correcto funcionamiento del SGI, según las necesidades que manifiesten las áreas responsables de la planificación y operación de la Continuidad de Negocio y Seguridad de la Información.
4.Asignar y revisar, al menos una vez al año, el presupuesto requerido para cubrir las necesidades de resiliencia operativa digital.
5.Comunicar la importancia de una gestión eficaz de la continuidad del negocio y de cumplir con los requisitos impuestos en el SGI.
6.Asegurar que el SGI sigue alineado con los objetivos marcados y que se alcanzan los resultados previstos.
7.Dirigir y apoyar a todo el personal para garantizar la eficacia del SGI.
8.Promover la mejora continua.
9.Apoyar al resto de cargos de responsabilidad en su liderazgo y compromiso en sus áreas de responsabilidad.
10.Establecer las funciones, responsabilidades y competencias de todo el personal para la gestión de la Continuidad del Negocio y la Seguridad de la Información con un enfoque prioritario en las TIC.
11.Designar un Comité de Gestión Integrado como responsable del SGI, dotándolo de autoridad y competencias necesarias para asumir la responsabilidad de la implantación y mantenimiento del SGI.
12.Garantizar que las responsabilidades y autoridades para las funciones principales se asignan y se comunican dentro de la Organización.
13.Definir los criterios de aceptación del riesgo y la apetencia del riesgo.
14.Asumir la responsabilidad última de gestionar el riesgo relacionado con las TIC incluyendo la definición, aprobación y supervisión del marco de gestión del riesgo, y garantizando su correcta implementación.
15.Participar de forma activa en las pruebas y ensayos que afecten al SGI.
16.Garantizar que se realizan las auditorías internas del SGI cumpliendo con la planificación definida.
17.Llevar a cabo revisiones de Dirección del SGI.
18.Demostrar su compromiso con la mejora continua del SGI.
19.Aprobar, supervisar, y revisar periódicamente la clasificación de los activos de información y activos TIC, la lista de los principales riesgos detectados, el análisis de impacto en el negocio, los planes de continuidad, y las medidas de respuesta y recuperación.
20.Establecer y aplicar los procedimientos, protocolos y herramientas TIC necesarios para proteger los activos de información y activos de TIC.
21.Garantizar que el personal disponga de los conocimientos y capacidades actualizados para comprender y evaluar adecuadamente el riesgo relacionado con las TIC.
22.Establezca las directrices correspondientes para la presentación de informes sobre la seguridad de la información y la resiliencia operativa digital, incluyendo la frecuencia, formato y el contenido de los mismos.
23.Garantizará el mantenimiento de unos niveles elevados de disponibilidad, autenticidad, integridad y confidencialidad de los datos.
24.Aprobar y revisar anualmente la política de Legálitas sobre los acuerdos contractuales con proveedores externos de servicios TIC esenciales para las funciones de las empresas del Grupo.
25.Establecer canales de comunicación con el objetivo de mantenerse informado sobre los acuerdos celebrados con proveedores terceros de servicios de TIC, especialmente de los cambios relacionados con dichos proveedores y las repercusiones de estos cambios en las funciones esenciales cubiertas por los acuerdos.
2.2 Obligaciones y terceras partes
2.2.1 Obligaciones
Todo el personal de Legálitas, así como terceras personas de proveedores y contratistas tienen la obligación de conocer y cumplir esta norma de seguridad de la información y continuidad de los servicios, así como la normativa que la desarrolle, siendo responsabilidad del Comité de Gestión Integrado constituido en la Organización, disponer los medios necesarios para que la información llegue a todas ellas.
El incumplimiento manifiesto de la Política de Seguridad de la Información y Continuidad de los Servicios, o la normativa y procedimientos derivados de ésta, podrá acarrear el inicio de las medidas disciplinarias oportunas y, en su caso, las responsabilidades legales a las que pudieran dar lugar.
El Comité del Sistema de Gestión Integrado (CSGI) establecerá los mecanismos y medios de reporte relacionado con la Seguridad de la Información y Continuidad de Servicios que puedan necesitar las partes interesadas, como pueden ser empleados, proveedores, accionistas, propietarios o autoridades y se reportará con la periodicidad que considere necesaria para cada uno de los grupos de interés que solicite la información.
2.2.2 Terceras partes
Cuando Legálitas preste servicios a otras organizaciones o entidades se les hará partícipes de esta Política de seguridad y continuidad de los servicios, tratando de establecer canales para reporte y coordinación del Comité de Gestión Integrado, para establecer los procedimientos de actuación para la reacción ante incidentes.
En el caso de que sea Legálitas quien utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de seguridad de la información y continuidad de los servicios, de la normativa que la desarrolla, que atañe a los servicios contratados o la información tratada. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la normativa que le aplique, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Se establecerán procedimientos específicos de reporte y resolución de incidencias y se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información y continuidad de los servicios, al menos al mismo nivel que el establecido en esta Política.
Legálitas podrá contar con empresas y organismos externos que ayuden a mejorar sus sistemas de seguridad, mediante la contratación de auditorías, asistencias técnicas o trabajos y desarrollos especializados.
2.3 Tareas
Para la protección de la información y de datos frente a amenazas que puedan comprometer la confidencialidad, integridad, autenticidad y disponibilidad de la información, así como la continuidad del negocio, se adoptan las medidas necesarias para gestionar la información confidencial, y se protocolizan las normas de actuación.
Las tareas a desarrollar para garantizar la protección de los sistemas y las instalaciones son:
• Disponer de un proceso de gestión de los riesgos de seguridad y continuidad que afecten al Grupo, así mismo deben:
a.Determinar la tolerancia y el apetito de dichos riesgos, de acuerdo con la estrategia de riesgo de Legáltas, y realizar el informe escrito periódico sobre el resultado del proceso de gestión.
b.Mapear los procesos y actividades, e identificar su importancia y sus interdependencias con las TIC y los riesgos de seguridad física y tecnológica.
c.Clasificar los procesos y actividades en términos de criticidad, evaluar sus requisitos de protección de confidencialidad, integridad y disponibilidad e identificar a los propietarios de los activos.
d.Realizar una evaluación de las TIC y los riesgos de seguridad periódicamente. Esta evaluación también debe realizarse antes de cualquier cambio importante en la infraestructura, procesos o procedimientos.
e.Sobre la base de su evaluación de riesgos, Legálitas definirá e implementará las medidas para gestionar las TIC identificadas, los riesgos de seguridad y proteger los activos de información.
f.Los resultados del proceso de gestión de riesgos de seguridad de las TIC y continuidad de negocio se incluyen como parte de la gestión general de riesgos del Grupo.
•Ofrecer una formación adecuada sobre las TIC y los riesgos de seguridad de forma periódica, y establecer programas de capacitación y concienciación en seguridad de la información para todo el personal.
•Tener una estrategia de seguridad y continuidad que se aplique y comunique a todo el personal y a los proveedores pertinentes y que se monitorice y mida su efectiva implementación periódicamente.
•El sistema de gestión de riesgos TIC y continuidad de negocio deberá ser auditado regularmente. La gestión debe revisarse al menos una vez al año y tras la ocurrencia de un incidente de importancia.
•Mantener un inventario actualizado de sus activos. El inventario de activos de TIC debe ser lo suficientemente detallado para permitir una rápida identificación de un activo de TIC, su ubicación, clasificación de seguridad y propiedad. Los activos de TIC retirados del servicio deben procesarse y eliminarse de forma segura.
•Implementar una metodología de proyectos de TIC e implementar un proceso que rija la adquisición, el desarrollo y el mantenimiento de los sistemas de TIC, y uno de gestión de cambios en las TIC.
•Realizar un análisis de impacto empresarial. Sobre la base del análisis de impacto empresarial y los escenarios plausibles, las empresas deben desarrollar planes de respuesta y recuperación, y Planes de Continuidad del Negocio (Business Continuity Plan o BCP).
•Elaborar las políticas y procedimientos pertinentes para asegurar la implantación eficaz de las medidas de Seguridad y la gestión adecuada de estos riesgos.
•Las empresas deben garantizar la seguridad de sus activos frente a sus proveedores, monitorear y buscar garantías sobre su nivel de cumplimiento en materia de seguridad, y comprobar la adecuación de sus servicios a los objetivos, medidas y metas de desempeño de seguridad del Grupo.
3 Estrategia, procesos y procedimientos
3.1 Criterios de Seguridad
Legálitas define y documenta las estrategias, políticas, procedimientos y protocolos destinados a regular la Seguridad de las TIC:
En primer lugar, se evalúan los riesgos a los que se ven sometidos los activos del Grupo y se elabora la presente Política, que debe comunicarse a todo el personal y aplicarse a los proveedores de servicios.
Sobre la base de la política, Legalitas implementa otros procedimientos y medidas de seguridad de la información destinados a garantizar la confidencialidad, integridad, autenticidad y disponibilidad de los sistemas y servicios de TIC.
Entre las que se incluyen:
•Las políticas o procedimientos que limitan los accesos físicos y virtuales a los activos TIC y a los datos, definen los métodos de autentificación, el control de acceso o la seguridad lógicos y gestionan la categoría de usuarios privilegiados.
•Se han elaborado también en relación a la gestión adecuada de las TIC de Legálitas distintos manuales o normas.
•Se implanta un procedimiento de evaluación y seguimiento de los riesgos derivados de un cambio importante en la estructura tecnológica del Grupo.
•Se dispone de políticas adecuadas de parches y actualizaciones. En el Grupo existe un documento que define el procedimiento de gestión de los parches de los sistemas propiedad de la Organización.
•Se monitorizan periódicamente las actividades que afectan la seguridad de la información de las empresas:
a.Diariamente: se realiza una comprobación de la correcta finalización de los procesos de Backup y se revisan las alertas recibidas desde la consola de gestión del antivirus.
b.Mensualmente: se realiza la actualización de los parches de Sistema Operativo en los Puestos de Trabajo.
c.Trimestralmente: se realiza la actualización de los parches de Sistema Operativo en los Servidores.
d.Semestralmente: se realiza una revisión de las políticas desplegadas en los firewalls, se procede con la actualización de la versión de su software y se realiza una prueba de alta disponibilidad (HA); adicionalmente, se actualizan los parches de SQL Server.
e.En cualquier caso, los parches urgentes se instalan fuera de ciclo, con la premura que permita la prestación del servicio.
•También ha desarrollado el programa “AYÚDANOS A PROTEGERNOS”, con el objetivo de transmitir a todos los empleados, entre otros, cuáles son los conceptos principales de la seguridad informática, así como proporcionar consejos y protocolos de actuación en caso de detectar alguna amenaza de este tipo.
•Anualmente se realiza una formación a todos los empleados del Grupo en Seguridad de la Información, Continuidad de Negocio y Protección de Datos. A partir de 2022 a esa formación anual se han añadido dos nuevos módulos: Compliance y Gestión de Riesgos. Adicionalmente a esa formación anual, de forma periódica se realizan acciones de concienciación a toda la plantilla.
•Además, se realizan diariamente copias de seguridad de toda la información utilizada en las operaciones de la empresa.
•En relación con los soportes de información, una vez llegado el final de esta vida útil, Legálitas se asegura de que se lleve a cabo una destrucción segura y adecuada, y en los casos en los que el dispositivo es reutilizado, se aplican medidas de borrado seguro.
•Las medidas de seguridad física de la empresa se definen e implementan para proteger las instalaciones, centros de datos y áreas sensibles del acceso no autorizado y de peligros ambientales. El acceso físico a los sistemas de TIC se permite únicamente a personas autorizadas.
•Se realizan pruebas de Hacking ético por parte de un tercero a nivel interno y externo. La periodicidad establecida mensual es:
- Interno: segundo fin de semana.
- Externo: último fin de semana.
•Se elaboran informes de control de seguridad para comprender la naturaleza de los incidentes operativos o de seguridad más graves, identificar tendencias y respaldar las investigaciones internas de Legalitas, que se almacenan en Formalize, para el resto de incidentes, se realizan cuadros de mando o diagnostico que se reportan mensualmente (KPIs con nº de incidentes de antivirus, actualizaciones de antivirus etc.).
•Legalitas cuenta con Planes de Continuidad del Negocio (BCP) que evalúan el impacto de una variedad de escenarios, y de los riesgos materiales que podrían afectar negativamente a los sistemas y servicios de TIC. Además, Legálitas prueba sus BCP, para demostrar su capacidad de mantener la viabilidad del negocio hasta que las operaciones críticas se restablezcan a un nivel de servicio predefinido o tolerancia al impacto.
•En caso de interrupción o emergencia, Legalitas cuenta con medidas efectivas de comunicación de crisis, incluidas en la presente Política.
3.2 Procesos de gestión y mitigación
A continuación, se detallan los procesos principales sobre los que se desarrollarán las actividades de gestión desde un enfoque mayoritariamente reactivo y considerando controles preventivos:
3.2.1 Seguridad de los Recursos Humanos
El SGI dispone además en su cuerpo normativo de una serie de procesos, enfocados a asegurar la seguridad de la información en lo referido a los RRHH de la compañía, desde el proceso de selección e incorporación, su formación y concienciación, las cuestiones relativas a la prevención de riesgos laborales o el proceso disciplinario.
Los empleados de Legálitas, externos o internos, deben conocer y comprender sus responsabilidades y funciones con respecto a la Seguridad de la Información, además de tener una descripción adecuada de su puesto de trabajo y adecuados términos de contratación, así como deben de estar informados de las políticas, procedimientos y protocolos en materia de seguridad de las TIC y conocer el canal de denuncias.
Deberán existir medidas en materia de Seguridad que deberán ser consideradas en todo el proceso de selección de personal, en la elaboración de contratos y durante la etapa laboral, a fin de reducir los riesgos de manipulación, robo, fraude o uso inadecuado de la información. Una vez finalizada la etapa laboral también deberán considerarse medidas de finalización de contrato y baja de usuarios.
Será competencia de los miembros de la Compañía la obligación de obrar con diligencia con respecto al material y a la información, debiéndose encargar de que dicha información no caiga en poder de personal no autorizado.
3.2.2 Gestión de Activos
El SGI a los efectos de la gestión de activos de la compañía dispone de distintos procesos, relativos a la clasificación, etiquetado y registro de activos.
A modo de ejemplo, se establece en relación con los soportes de información que, una vez llegado el final de su vida útil, Legálitas garantice que se lleve a cabo una destrucción segura y adecuada, y en los casos en los que el dispositivo es reutilizado, se aplican medidas de borrado seguro.
3.2.3 Controles de Acceso.
El control de acceso se enfoca en asegurar el acceso de los usuarios y prevenir el acceso no autorizado a los Sistemas de Información.
Los accesos a la información, dentro de los sistemas está acotada por perfiles en base a la política de mínimo privilegio y necesidad de conocer, y protegida con contraseñas seguras con cambio periódico obligatorio e ID único con información secreta de autenticación, siendo responsabilidad de los empleados el cumplimiento de las buenas prácticas. Asimismo, el alta, la baja y la modificación de los derechos de acceso en los sistemas está controlada por parte de los departamentos de RRHH y TI mediante procesos automáticos diarios coordinados con la Gestoría asegurando de este modo la separación de funciones con el fin de impedir el acceso injustificado.
El acceso físico también forma parte del SGI y se controla mediante lector de tarjetas, gestión de llave o código.
3.2.4 Criptografía – Cifrado y gestión de claves
Legálitas dispone de un procedimiento de criptografía que contiene el cifrado de información en tránsito, en reposo, y cifrado de los datos en uso, y de un proceso para la gestión de los certificados digitales.
El objetivo de los mencionados procedimientos es garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad, disponibilidad y/o integridad de la información, y proteger durante todo su ciclo de vida las claves criptográficas tomando en consideración las prácticas más punteras a la hora de seleccionar las técnicas y prácticas de uso en materia de criptografía. Siempre estando actualizado sobre los últimos cambios relativos a la tecnología garantizando de este modo la resiliencia de la tecnología criptográfica frente a las ciber amenazas.
3.2.5 Seguridad Física y Ambiental.
Las medidas de seguridad física de la empresa se definen e implementan para proteger las instalaciones del acceso no autorizado y de ataques, accidentes, amenazas y peligros ambientales, preservando de este modo la disponibilidad, integridad, autenticidad y confidencialidad de los datos y se desarrollan a través de los procesos correspondientes.
3.2.6 Seguridad operacional.
Se han definido procesos para establecer los parámetros a tener en cuenta en la seguridad de las operaciones que lleva a cabo la compañía, como los relativos a la gestión del cambio, o la gestión de los parches, gestión de vulnerabilidades o capacidades. Asimismo, se deberán gestionar y controlar las redes de manera adecuada, a fin de protegerlas frente a amenazas y mantener la seguridad de las mismas. Los sistemas y aplicaciones que utilicen la red, incluido el control de acceso a la red, deberán contar con medidas de protección para la transferencia e intercambio de información. Además, se han agrupado en forma de manual las instrucciones para la plantilla sobre el uso correcto de los sistemas de la información.
De entre los elementos clave que tendrán que contener los procedimientos relacionados con la seguridad de las operaciones se encontrará: una descripción de los activos TIC (requisitos de instalación, mantenimiento, configuración, desinstalación, y gestión), controles y seguimiento de los sistemas TIC (copias de seguridad, restauración, planificación, auditorías, registro, separación entre los entornos de producción, desarrollo y prueba) y gestión de errores.
3.2.7 Seguridad de las comunicaciones.
La seguridad de las comunicaciones es una prioridad del sistema de gestión, tanto a nivel de infraestructura como de uso de elementos tales como el correo corporativo, por lo que se han aprobado diversos procesos para su correcta gestión como un procedimiento de comunicación de crisis incluido en el procedimiento de comunicación interna y externa.
3.2.8 Adquisición, Desarrollo y Mantenimiento del Sistema.
Si bien la compañía externaliza el desarrollo del sistema y su mantenimiento, dispone de procesos para establecer los requisitos, prácticas y metodologías para garantizar la seguridad de este y la gestión de las posibles vulnerabilidades como la alteración no intencionada o manipulación intencionada de los sistemas TIC.
En los procesos se definirán las características técnicas que los sistemas TIC han de cumplir siguiendo el artículo 2 apartados 4 y 5 del Reglamento 1025/20122.
2 REGLAMENTO (UE) No 1025/2012 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 25 de octubre de 2012 sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión no 1673/2006/CE del Parlamento Europeo y del Consejo.
3.2.9 Cumplimiento y auditorías
3.2.9.1 Cumplimiento
La identificación de la normativa que aplica a la empresa, así como de las necesidades de formación y adaptaciones para su cumplimiento se lleva a cabo desde el Departamento de Asesoría Jurídica y el Compliance Officer del Grupo. De igual modo la protección de datos personales y el cumplimiento de la normativa de aplicación es responsabilidad del Delegado de Protección de Datos personales.
Adicionalmente, se deberán llevar a cabo revisiones y auditorías periódicas de cumplimiento de la Seguridad de la Información por personal independiente a Legálitas.
3.2.9.2 Auditoría
El sistema de gestión de la seguridad de la información y continuidad de los servicios, implantado en Legálitas, será objeto de una auditoría regular ordinaria, interna y externa, que verifique el cumplimiento de los requerimientos de cada una de las normas que dan cumplimiento, según lo establecido en los requisitos de los propios esquemas de certificación que les sea de aplicación y que serán definidos en el correspondiente documento normativo que a tal efecto se establezca.
Asimismo, con carácter extraordinario, deberá realizarse dicha auditoría siempre que se lleven a cabo modificaciones sustanciales en los sistemas de información y las operaciones en las que se sustentan los servicios y que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas, en los protocolos de actuación o en el aseguramiento de las operaciones.
Los informes de auditoría quedarán a disposición del Comité del Sistema de Gestión Integrado implantado, que los evaluarán para su presentación a la Dirección para su revisión. Estos informes serán utilizados como medida del desempeño de la operación y mantenimiento del sistema de gestión de la seguridad de la información y continuidad de los servicios implantado y base para su mejora continua.
El responsable del Sistema de Gestión Integrado debe gestionar las No Conformidades, Observaciones y Oportunidades de mejora detectadas de forma que se establezcan las correspondientes acciones correctivas.
El Sistema de Gestión Integrado se enmarca en el ciclo de Deming (ciclo PDCA), basado en la planificación de actividades, su implantación y operación, revisión y posterior mejora. Todo ello aplicado a la seguridad de la información y la continuidad de los servicios.
3.2.10 Gestión de Proveedores
Legálitas externaliza parte de sus servicios a proveedores externos, confiando así en las medidas de seguridad de otras empresas. Dichas medidas deben ser supervisadas y evaluadas periódicamente para garantizar el cumplimiento del cuerpo normativo de la compañía, a través de procesos de revisión bajo demanda y seguimiento del cumplimiento de los niveles de servicio de seguridad acordados. Se deberá establecer un conjunto de medidas para gestionar los servicios proporcionados por proveedores, realizando análisis periódicos de cada uno y evaluando su criticidad y riesgo, considerando la sensibilidad de los datos tratados y la naturaleza del servicio ofrecido mediante auditorías y revisiones de los requerimientos contractuales, así como la monitorización de los niveles de servicio y las medidas de seguridad implantadas por el proveedor para proteger los activos de información de Legálitas.
En los casos en que se utilicen servicios de terceros o se comparta información con ellos, estos deberán adherirse a esta Política de Seguridad y demás cuerpo normativo de Seguridad que aplique a dichos servicios o información. Los proveedores quedarán sujetos a las obligaciones establecidas en el cuerpo normativo de Legálitas pudiendo desarrollar sus propios procedimientos operativos para cumplirlo, bajo la supervisión y validación de Legálitas.
Legálitas garantiza que, cuando se subcontraten servicios y sistemas TIC con cualquier proveedor, se cumplen los requisitos pertinentes establecidos en la normativa aplicable y en las directrices de EIOPA relativas a la externalización de proveedores de servicios en la nube, DORA y sobre Información y seguridad de la tecnología de la comunicación y gobernanza; con el objetivo de prevenir las incidencias de seguridad de los proveedores.
Estos requisitos son, por ejemplo:
•En caso de subcontratación de funciones críticas o importantes, se debe llevar un registro de tales contratos Y se debe realizar una evaluación de riesgos exhaustiva que incluya todos los riesgos pertinentes que implica el acuerdo.
•Definir objetivos y medidas de seguridad de la información adecuados y proporcionados.
•Consensuar acuerdos de nivel de servicio, para asegurar la continuidad de los servicios y sistemas de TIC y los objetivos de desempeño en circunstancias normales, así como los previstos por los planes de contingencia en caso de interrupción del servicio.
•Identificar y evaluar los conflictos de intereses que la empresa podría causar de acuerdo con los requisitos establecidos en el artículo 274, apartado 3, letra b), del RD 2015/35.
•Predeterminar la frecuencia de auditorías e inspecciones.
•Asegurarse de que las cláusulas contractuales se adecuan a las exigencias legales y prevén la terminación de servicios en casos de incumplimientos o alteraciones del servicio, por ejemplo.
•Y determinar los procedimientos operativos y de manejo de incidentes de seguridad.
En todo caso, se seguirá la política relativa a los acuerdos contractuales sobre el uso de servicios de TIC que sustenten funciones esenciales prestados por proveedores terceros de servicios de TIC.
3.2.11 Formación y concienciación
Lograr la plena conciencia respecto a que la seguridad de la información y continuidad de los servicios afecta a todo el personal de la Organización y a todas sus actividades, constituyendo un objetivo de primer orden para Legálitas. Por consiguiente, la Organización, desde el patrocinio del Comité de Gestión Integrado, propondrá y organizará, sesiones formativas y de concienciación, para que todo su personal y otras partes interesadas externas, tengan una sensibilidad adecuada respecto a los riesgos que acechan en la, protección de la información y continuidad de los servicios prestados.
El Comité de Gestión Integrado aprobará una Política de Formación y Concienciación en el tratamiento seguro de la información y continuidad de los servicios que implementarán las distintas áreas, con los siguientes objetivos:
•Capacitación sobre la protección de la información y de los datos de carácter personal, orientada a los responsables de los datos y hacia los usuarios con privilegios sobre los mismos.
•Capacitación sobre la política, normas y procedimientos de seguridad implantados y los riesgos existentes, así como los relacionados con el aseguramiento de los procesos y operaciones.
•Capacitación en la identificación de incidentes disruptivos, la comunicación de estos protocolos de actuación y recuperación, así como de todos aquellos aspectos que afecten a la continuidad de las operaciones y servicios.
3.2.12 Gestión de Incidentes de Seguridad de la Información
Ante un incidente de seguridad de la información, sin perjuicio de lo establecido en el apartado de cumplimiento con relación a las brechas de seguridad de datos personales, la compañía tiene procedimentada tanto la gestión de la incidencia, sea cual sea su origen y en especial, en el caso de que sea TIC, la recopilación de evidencias forenses donde se asignan las responsabilidades que deban activarse incluyendo su contacto, se realizará el análisis de los incidentes más significativos, y se conservarán todas las pruebas sobre los incidentes relacionados con las TIC por el tiempo necesario.
Los procesos y planes de gestión de incidentes y problemas establecen:
•Los procedimientos para identificar, rastrear, registrar, categorizar y clasificar incidentes de acuerdo con una prioridad definida por la empresa y basados en la criticidad del negocio y los acuerdos de servicio;
•Las funciones y responsabilidades para diferentes escenarios de incidentes.
•Planes de comunicación interna efectivos, incluida la notificación de incidentes y los procedimientos de escalamiento. Los empleados de Legálitas deben comunicar cualquier incidencia de seguridad o anomalía que detecten a su responsable directo.
•Con el fin de actuar con la diligencia debida, se establecen unos protocolos de actuación, que determinan los pasos a seguir para conocer y verificar la gravedad y la eventual difusión o filtración de información al exterior.
•Procedimientos de respuesta a incidentes para mitigar el impacto relacionado con los incidentes y garantizar que el servicio se vuelva operativo y seguro de manera oportuna;
•Planes específicos de comunicación externa para funciones y procesos críticos para responder y recuperarse eficazmente del incidente y proporcionar información oportuna, incluida la notificación de incidentes, a partes externas.
•En caso de que la brecha afecte a datos personales se seguirá el proceso definido en la normativa de protección de datos personales y recogido en el Proceso de Protección de Datos Personales.
En relación a los incidentes y ataques mencionados, en el siguiente apartado se realiza una descripción más exhaustiva y detallada del Plan de Continuidad de Negocio del Grupo y de los distintos escenarios de crisis contemplados.
3.2.13 Gestión de la Resiliencia TI.
Los activos, sistemas y procesos de Legálitas deben contar con capacidad de resiliencia, para operar con el mínimo impacto posible frente a cambios imprevistos o alteraciones como incidentes de seguridad, asegurando su recuperación al estado anterior. Para lograrlo, será necesario desarrollar y mantener sistemas y herramientas resilientes que reduzcan el impacto de los riesgos mediante la identificación continua de posibles amenazas y la implementación de medidas de protección y prevención. Asimismo, se deberán establecer planes de continuidad de la actividad, y planes de recuperación ante catástrofes. Estos planes son necesarios para una rápida recuperación tras incidentes relacionados con los sistemas de Información, como ciberataques, minimizando los daños y priorizando la reanudación segura de las actividades.
Finalmente, se llevarán a cabo pruebas periódicas para evaluar la preparación y asegurarse de la detección de deficiencias en los sistemas, así como de la rápida aplicación de medidas correctoras. Los resultados de las pruebas deberán documentarse y cualquier deficiencia identificada habrá de analizarse, tratarse y notificarse al Consejo de Administración.
3.2.14 Gestión de la Continuidad.
En cumplimiento de la presente política, y en alineación con los estándares de calidad y buenas prácticas, se ha elaborado un Plan de Continuidad de Negocio. Este plan forma parte de su estrategia para asegurar la continuidad de los servicios críticos y gestionar adecuadamente los impactos en el negocio ante posibles escenarios de crisis, estableciendo un marco de acción que permita al Grupo actuar en caso de ser necesario de manera eficaz.
Más específicamente se determina que la estrategia de continuidad de negocio de Legálitas debe tratar de:
•Mitigar los riesgos ante un escenario de ciberataque. A tal fin Legálitas tiene contratada póliza de Ciberseguridad, que incluye cobertura de primera asistencia y auditoría forense ante ciberataques. Asimismo se ha establecido un plan de contingencia que contempla el análisis y evaluación del origen e impacto de la incidencia y actuaciones tendentes a reducir la brecha de seguridad y evitar su propagación mediante acciones tales como desconectar los sistemas o servicios afectados de la red.
En caso de fuga de información, se tratará de minimizar la difusión de la información, en especial si se encuentra publicada en Internet. Por este motivo, se contactará con los sitios que han publicado información y se solicitará su retirada, en especial si se trata de información sensible o protegida por el RGPD. En paralelo, el DPO, a la vista del análisis del origen e impacto de la incidencia evaluará la necesidad de comunicar a la AEPD la comunicación de la brecha, en caso de que se cumplan los requisitos que establece la legislación vigente.
•Mitigar los riesgos ante un escenario de fallo de las comunicaciones. Para ello el personal de IT realizará las gestiones necesarias con el proveedor del servicio a fin de hacer seguimiento de la incidencia y tratar de agilizar su resolución.
Si la caída del servicio afecta al personal en teletrabajo, por deberse al fallo del servicio VDI el plan contempla la vuelta presencial a las Instalaciones de la compañía.
Si la caída afecta al personal que está trabajando en local (instalaciones de la compañía) por fallo del servicio MacroLAN se procederá a aplicar el plan de contingencia de Indisponibilidad del Edificio, pasando a teletrabajo.
•Mitigar el impacto ante un escenario de imposibilidad de utilizar las instalaciones de Legalitas por una interrupción de los servicios de suministro esenciales como el eléctrico, o cualquier otro motivo, tales como confinamiento domiciliario por pandemia, temporales climatológicos, inundaciones, etc.)
•Mitigar el impacto que supone la indisponibilidad del personal, estableciendo programas de externalización flexible acorde a las necesidades de trabajo mediante contratos de colaboración con abogados externos, o proveedores de servicios médicos en el caso de Legalitas Salud, con los que se cuenta en la actualidad, para que puedan garantizarse niveles mínimos de operación a corto plazo. Como añadido, se ha formado a distintas personas de forma que sean polivalentes y puedan prestar sus servicios de forma indistinta en distintos departamentos en caso de indisponibilidad de personal de un departamento concreto.
•Mitigar el impacto ocasionado por la caída del CRM. Para ello, El departamento de TI en coordinación con el proveedor, en función del análisis realizado evaluará las causas del incidente y las tareas necesarias para su solución. Adicionalmente y en paralelo a la solución de la incidencia, a fin de que la información recogida en las llamadas no se pierda y pueda ser transferida posteriormente al CRM, una vez éste funcione adecuadamente, el Responsable de la operación dará instrucciones al resto de responsables y éstos a su vez a sus equipos, a fin de que utilicen la ruta correspondiente a su área en Sharepoint y anoten allí la actividad realizada. En el caso del CRM de salud que impida gestionar la cita médica con un centro concertado, se dará libertad al paciente para asistir a una clínica de su preferencia
Para garantizar el cumplimiento con los requerimientos anteriormente expuestos, se han definido planes o procedimientos de contingencia para cada escenarios de crisis que especifican los pasos a seguir en caso de ocurrencia de una incidencia de la suficiente gravedad como para que sea necesario gestionarlo como crisis.
Para la puesta en marcha del plan que corresponda en función del escenario de crisis sufrido, se ha definido un proceso de Aviso y Activación del plan de que se trate y se ha elaborado un proceso de Comunicación interna y externa, que mantiene el Dpto de Comunicación, y que contempla, entre otras cuestiones, las Comunicaciones que la empresa debe realizar en escenarios de crisis de continuidad
La estrategia a seguir por parte de Legálitas se considera acorde a la realidad en base a los escenarios de crisis identificados como potenciales, que pudieran afectar tanto a los servicios y actividades desarrollados por la Organización, como a la imagen y al negocio de la organización.
Para la determinación del impacto en el negocio que provocaría un incidente disruptivo, se han identificado procesos de negocio, en relación al criterio establecido por la Dirección (impacto alto en el negocio e incumplimiento contractual si la interrupción se prolonga por un plazo inferior o igual a 4 horas).
3.2.15 Gestión de los riesgos TIC
La gestión de los riesgos TIC debe realizarse de manera continua sobre los sistemas de información y otros activos o recursos de los servicios, conforme a los principios de gestión de la seguridad de la información y continuidad de los servicios, basada en los riesgos y su reevaluación periódica.
El Responsable de Seguridad de la Información junto al Responsable de Sistemas y responsable del servicio, son los encargados de realizar los preceptivos análisis de riesgos TIC y de seleccionar las salvaguardas a implantar, siguiendo la metodología para el análisis y gestión de riesgos implantada.
El responsable de la información y el responsable del servicio son los responsables de los riesgos sobre la información y sobre el servicio, respectivamente, y por tanto de aceptar los riesgos residuales calculados en el análisis y de realizar su seguimiento y control sin perjuicio de la posibilidad de delegar esta función.
El proceso de gestión de los riesgos TIC, que comprende las fases de identificación de activos, análisis de amenazas, cálculo de la probabilidad e impacto de que se llegarán a producir, así como la selección de medidas de mitigación a aplicar, que han de ser proporcionales a los riesgos y estar justificadas, deberá revisarse una vez al año de forma ordinaria y de manera extraordinaria, cuando se produzcan cambios en la información, en los servicios, ocurran incidentes significativos o sean identificadas vulnerabilidades graves.
Independientemente de los seguimientos de Riesgos que se llevan a cabo por parte de la Dirección de Gestión de Riesgos, conforme a la Política de Gobierno Corporativo y Control Interno del Grupo, la revisión de los riesgos TIC le corresponde al Responsable de Seguridad de la Información, con la colaboración del responsable del sistema del mismo ámbito y el responsable del servicio, quienes presentarán un informe al responsable del Sistema de Gestión Integrado, para su presentación y evaluación por el Comité de Dirección.
4. Aprobación, revisión, actualización y difusión
El texto de esta Política de Seguridad y Continuidad es aprobado por el Consejo de Administración de Legálitas y es efectiva hasta que sea reemplazada por una nueva Política de la Seguridad y Continuidad.
En consecuencia, este texto anula la anterior Política de Seguridad y Continuidad de igual rango vigente, aprobada por el mismo órgano en fecha anterior. Será misión del Consejo de Administración de Legálitas la revisión de esta política a través de la propuesta de modificación y mantenimiento que realice el Comité de Gestión Integrado que se ha implantado en la organización, de forma periódica o cuando se produzcan supuestos que podrán originar su revisión, entre los que se encuentran:
●Propuestas de mejora formuladas por las auditorías efectuadas u otras partes interesadas.
●Cambio en la legislación vigente referente a lo que esta Política expresa.
●Cambios tecnológicos u operativos significativos.
Legálitas considera que, a través de las acciones indicadas en todos los principios identificados en la presente Política, se asegurará el cumplimiento de todos los objetivos de la organización, garantizando su buena imagen y reputación, asegurando la satisfacción del personal, clientes, proveedores y otras partes interesadas, asumiendo que todas estas acciones permiten asegurar y cumplir con el compromiso de satisfacer sus necesidades.
Con el objetivo de lograr la adecuación continua de la Política de Seguridad y Continuidad, la misma se revisará al menos una vez al año y tantas veces como sea necesario para adecuarla a las necesidades de Legálitas.
5. Incumplimiento de la Política
El incumplimiento de esta política podrá dar lugar a que Legálitas inicie acciones disciplinarias y ejercite sus derechos mediante los procedimientos legales establecidos.
En caso de existir alguna excepción a esta política, se realizará una evaluación del riesgo específico e individualizado, examinándose las posibles consecuencias que dicha excepción pudiera conllevar. Estas excepciones serán presentadas por el responsable del Sistema de Gestión Integrado al Comité del Sistema de Gestión Integrado quién se encargará de su revisión y comunicación al Comité de Dirección para su aprobación, documentando en cada caso, los criterios para la resolución tomada al respecto.
* * *