Ruybesa
Contáctanos

Política de Seguridad de Informacion

Aprobación y Entrada en Vigor

Texto aprobado el día 9 de enero de 2025 por Ruybesa Innovative Solutions.
Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta
que sea reemplazada por una nueva Política.

Introducción

Ruybesa Innovative Solutions depende de los sistemas TIC (Tecnologías de
Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben
ser administrados con diligencia, tomando las medidas adecuadas para protegerlos
frente a daños accidentales o deliberados que puedan afectar a la disponibilidad,
integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la
información y la prestación continuada de los servicios, actuando preventivamente,
supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con
potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto
y valor de la información y los servicios. Para defenderse de estas amenazas, se
requiere una estrategia que se adapte a los cambios en las condiciones del entorno
para garantizar la prestación continua de los servicios. Esto implica que los
departamentos deben aplicar las medidas mínimas de seguridad exigidas por el
Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los
niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas,
y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de
los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una
parte integral de cada etapa del ciclo de vida del sistema, desde su concepción
hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición
y las actividades de explotación. Los requisitos de seguridad y las necesidades de
financiación deben ser identificados e incluidos en la planificación, en la solicitud de
ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y
recuperarse de incidentes.

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible,
que la información o los servicios se vean perjudicados por incidentes de seguridad.
Para ello los departamentos deben implementar las medidas mínimas de seguridad
determinadas por Ruybesa Innovative Solutions, así como cualquier control
adicional identificado a través de una evaluación de amenazas y riesgos. Estos
controles, y los roles y responsabilidades de seguridad de todo el personal, deben
estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

• Autorizar los sistemas antes de entrar en operación.

• Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios
de configuración realizados de forma rutinaria.

• Solicitar la revisión periódica por parte de terceros con el fin de obtener una
evaluación independiente.

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que
van desde una simple desaceleración hasta su detención, los servicios deben
monitorizar la operación de manera continua para detectar anomalías en los niveles
de prestación de los servicios y actuaren consecuencia.

Se establecerán mecanismos de detección, análisis y reporte que lleguen a los
responsables regularmente y cuando se produce una desviación significativa de los
parámetros que se hayan preestablecido como normales.

Los departamentos deben:

• Establecer mecanismos para responder eficazmente a los incidentes de
seguridad.

• Designar punto de contacto para las comunicaciones con respecto a
incidentes detectados en otros departamentos o en otros organismos.

• Establecer protocolos para el intercambio de información relacionada con el
incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos
de Respuesta a Emergencias (CERT).

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben
desarrollar planes de continuidad de los sistemas TIC como parte de su plan
general de continuidad de negocio y actividades de recuperación.

Esta política se aplica a todos los sistemas TIC de Ruybesa Innovative Solutions y
a todos los miembros de la organización, sin excepciones.

La Dirección de Ruybesa Innovative Solutions, establece como objetivos de base,
punto de partida y soporte de los objetivos y principios de la seguridad de la
información los siguientes:

• La protección de los datos de carácter personal y la intimidad de las
personas

• La salvaguarda de los registros de la organización

• La protección de los derechos de propiedad intelectual

• La documentación de la política de seguridad de la información

• La asignación de responsabilidades de seguridad

• La formación y capacitación para la seguridad de la información

• El registro de las incidencias de seguridad

• La gestión de la continuidad del negocio

• La gestión de los cambios que pudieran darse en la empresa relativos a la
seguridad

Todas las actividades de Ruybesa Innovative Solutions se realizarán conforme a la
legislación vigente. El marco regulatorio en el que se desarrollan las actividades
será el que se establezca en nuestros registros R-22-01 “Listado de requisitos
legales” que se actualizará conforme a nuestra ficha de procedimiento FP-22
“Cumplimiento legal”.

Comités: Funciones y Responsabilidades

El Comité de Seguridad estará formado por:

• CEO
• Responsable de la Información.
• Responsable del Servicio
• Responsable de Sistemas y Seguridad
• Responsable de Protección de Datos.
• Responsable del Sistema de gestión

El Secretario del Comité de Seguridad será el Responsable de Sistemas y
Seguridad y tendrá como funciones:

• Convoca las reuniones del Comité de Seguridad de la Información.
• Prepara los temas a tratar en las reuniones del Comité, aportando
información puntual para la toma de decisiones.
• Elabora el acta de las reuniones.
• Es responsable de la ejecución directa o delegada de las decisiones del
Comité.

El Comité de Seguridad reportará a la Alta Dirección.

El Comité de Seguridad tendrá las siguientes funciones:

• Atender las inquietudes de la Dirección de la entidad y de los diferentes
departamentos.
• Informar regularmente del estado de la seguridad de la información a la
Dirección.
• Promover la mejora continua del sistema de gestión de la seguridad de la
información.
• Elaborar la estrategia de evolución de la organización en lo que respecta a
seguridad de la información.
• Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de
la información, para asegurar que los esfuerzos son consistentes, que están
alineados con la estrategia decidida en la materia, evitando duplicidades.
• Elaborar (y revisar regularmente) la Política de Seguridad de la Información
para su aprobación por la Dirección.
• Aprobar la Normativa de Seguridad de la información.
• Elaborar y aprobar los requisitos de formación y calificación de
administradores, operadores y usuarios, desde el punto de vista de
seguridad de la información.
• Monitorizar los principales riesgos residuales asumidos por la organización
y recomendar posibles actuaciones.
• Monitorizar el desempeño de los procesos de gestión de incidentes de
seguridad y recomendar posibles actuaciones respecto de ellos. En
particular, velar por la coordinación de las diferentes áreas de seguridad en
la gestión de tales incidentes.
• Promover la realización de las auditorías periódicas que permitan verificar el
cumplimiento de las obligaciones del organismo en materia de seguridad.
• Aprobar planes de mejora de la seguridad de la información de la
organización. En particular velará por la coordinación de distintos planes que
puedan realizarse en diferentes áreas.
• Priorizar las actuaciones en materia de seguridad cuando los recursos sean
limitados.
• Velar porque la seguridad de la información se tenga en cuenta en todos los
proyectos TIC desde su especificación inicial hasta su puesta en operación.
En particular, deberá velar por la creación y utilización de servicios
horizontales que reduzcan duplicidades y apoyen un funcionamiento
homogéneo de todos los sistemas TIC.

CEO

Responsabilidades:
• Es el responsable en última instancia de la actividad
• La aprobación de la Política de Seguridad de la Información del organismo
• La aprobación de la Política de Protección de Datos
• El compromiso de la entidad con la seguridad y su adecuada implantación,
gestión y mantenimiento
• Promover la mejora continua del sistema de gestión de la seguridad de la
información.
• Aprobar la Normativa de Seguridad de la información.
• Promover la realización de las auditorías periódicas que permitan verificar el
cumplimiento de las obligaciones del organismo en materia de seguridad.
• Aprobar planes de mejora de la seguridad de la información de la
organización. En particular velará por la coordinación de distintos planes que
puedan realizarse en diferentes áreas

Responsable de la información
Funciones:
• Tiene la responsabilidad última del uso que se haga de una cierta
información y, por tanto, de su protección.
• Es el responsable último de cualquier error o negligencia que conlleve un
incidente de confidencialidad o de integridad, autenticidad, trazabilidad y de
disponibilidad (en materia de seguridad de la información).
• Tiene la potestad de determinar los niveles de seguridad de la información
• Elaborar la estrategia de evolución de la organización en lo que respecta a
seguridad de la información.
• Monitorizar el desempeño de los procesos de gestión de incidentes de
seguridad y recomendar posibles actuaciones respecto de ellos. En
particular, velar por la coordinación de las diferentes áreas de seguridad en
la gestión de tales incidentes.
• Velar porque la seguridad de la información se tenga en cuenta en todos los
proyectos TIC desde su especificación inicial hasta su puesta en operación.
En particular, deberá velar por la creación y utilización de servicios
horizontales que reduzcan duplicidades y apoyen un funcionamiento
homogéneo de todos los sistemas TIC.

Responsable del servicio
Funciones:
• Tiene la potestad de determinar los niveles de seguridad de los servicios.
Responsable de Sistemas y Seguridad
Funciones:
• Mantener la seguridad de la información manejada y de los servicios
prestados por los sistemas de información en su ámbito de responsabilidad,
de acuerdo con lo establecido en la Política de Seguridad de la Información
de la organización.
• Promover la formación y concienciación en materia de seguridad de la
información dentro de su ámbito de responsabilidad.
• Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de
la información, para asegurar que los esfuerzos son consistentes, que están
alineados con la estrategia decidida en la materia, evitando duplicidades.
• Priorizar las actuaciones en materia de seguridad cuando los recursos sean
limitados.
• Informar regularmente del estado de la seguridad de la información a la
Dirección.
• Elaborar (y revisar regularmente) la Política de Seguridad de la Información
para su aprobación por la Dirección.
• Realizar la declaración de aplicabilidad
• Realizar el análisis de riesgos, para que la Dirección tome las decisiones
oportunas sobre los mismos.
• Monitorizar los principales riesgos residuales asumidos por la organización
y recomendar posibles actuaciones.
• Supervisión de las medidas de seguridad
• Proponer planes de mejora a la Dirección
• Debe reportar directamente a la Dirección

Responsable del Sistema de Información
Funciones:
• Responsable de la implantación de las medidas de seguridad
• Desarrollar, operar y mantener el sistema de información durante todo su
ciclo de vida, incluyendo sus especificaciones, instalación y verificación de
su correcto funcionamiento.
• Definir la topología y la gestión del sistema de información, estableciendo los
criterios de uso y los servicios disponibles en el mismo.
• Cerciorarse de que las medidas de seguridad se integren adecuadamente
en el marco general de seguridad.

Responsable de Sistemas de Gestión
Funciones:
• Desarrollar el sistema de gestión, implantarlo y mantenerlo, dirigiendo y
coordinando las actividades necesarias, e integrar aquellos sistemas de
gestión, según decida la Dirección.
• Elaborar y mantener la documentación de los sistemas de gestión.
• Asegurar que los sistemas de gestión implantados cumplan los requisitos
que les sean aplicables.

Responsable de protección de datos
Funciones:
• Informar y asesorar al responsable o al encargado del tratamiento y a los
empleados que se ocupen del tratamiento de las obligaciones que les
incumben en virtud del Reglamento de Protección de datos y de otras
disposiciones de protección de datos de la Unión o de los Estados miembros;
• Supervisar el cumplimiento de lo dispuesto en el Reglamento de Protección
de datos, de otras disposiciones de protección de datos de la Unión o de los
Estados miembros y de las políticas del responsable o del encargado del
tratamiento en materia de protección de datos personales, incluida la
asignación de responsabilidades, la concienciación y formación del personal
que participa en las operaciones de tratamiento, y las auditorías
correspondientes
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de
impacto relativa a la protección de datos y supervisar su aplicación de
conformidad con el artículo 35 del Reglamento (UE) 2016/679 relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos (RGPD).
• Cooperar con la autoridad de control;
• Actuar como punto de contacto de la autoridad de control para cuestiones
relativas al tratamiento, incluida la consulta previa a que se refiere el artículo
36 del Reglamento (UE) 2016/679 (RGPD), y realizar consultas, en su caso,
sobre cualquier otro asunto.

Es función de la Dirección de la entidad designar:
• Al Responsable de la Información, que puede ser un cargo unipersonal o un
órgano colegiado (integrado, habitualmente, en Comité de Seguridad de la
Información).
• Al Responsable del Servicio, que, pudiendo ser el mismo que el
Responsable de la Información, también puede ser un cargo unipersonal o
un órgano colegiado (integrado, habitualmente, en Comité de Seguridad de
la Información).
• Al Responsable de Sistemas y Seguridad, que debe reportar directamente a
la Dirección o a los órganos de gobierno de la entidad y, cuando existan, a
los Comités de Seguridad Corporativa y de Seguridad de la Información.
• Al Responsable del Sistema de información, que, en materia de seguridad,
reportará al Responsable de Sistemas y Seguridad. Esta designación podrá
ser:
o A propuesta del Responsable de la Información tratada, cuando el
Sistema de información trate una única información.
o A propuesta del Responsable del Servicio prestado, cuando el
Sistema de información preste un único servicio.
o Directamente, cuando el sistema de información trate diferentes
informaciones o preste diferentes servicios, oídos los responsables
de las informaciones y los servicios afectados.

El Responsable de Sistemas y Seguridad de la Información será nombrado por
Ruybesa Innovative Solutions a propuesta del Comité de Seguridad. El
nombramiento se revisará cada 2 años o cuando el puesto quede vacante.
El Departamento responsable de un servicio que se preste electrónicamente de
acuerdo a la Ley 11/2007 designará al Responsable del Sistema de Gestión,
precisando sus funciones y responsabilidades dentro del marco establecido por
esta Política.

Será misión del Comité de Seguridad la revisión anual de esta Política de Seguridad
de la Información y la propuesta de revisión o mantenimiento de la misma. La
Política será aprobada por Ruybesa Innovative Solutions y difundida para que la
conozcan todas las partes afectadas.

Ruybesa Innovative Solutions trata datos de carácter personal. El documento de
seguridad, al que tendrán acceso sólo las personas autorizadas, recoge los ficheros
afectados y los responsables correspondientes. Todos los sistemas de información
de Ruybesa Innovative Solutions se ajustarán a los niveles de seguridad requeridos
por la normativa para la naturaleza y finalidad de los datos de carácter personal
recogidos en el mencionado Documento de Seguridad.

Gestión de Riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos,
evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se
repetirá:

• regularmente, al menos una vez al año
• cuando cambie la información manejada
• cuando cambien los servicios prestados
• cuando ocurra un incidente grave de seguridad
• cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá
una valoración de referencia para los diferentes tipos de información manejados y
los diferentes servicios prestados. El Comité de Seguridad dinamizará la
disponibilidad de recursos para atender a las necesidades de seguridad de los
diferentes sistemas, promoviendo inversiones de carácter horizontal.

Esta Política de Seguridad de la Información complementa las políticas de
seguridad de Ruybesa Innovative Solutions en diferentes materias:

• Política de uso aceptable de activos
• Política de gestión de contraseñas
• Política de control de accesos
• Política de controles criptográficos
• Política de desarrollo
• Política de uso aceptable de servicios en la nube

Esta Política se desarrollará por medio de normativa de seguridad que afronte
aspectos específicos. La normativa de seguridad estará a disposición de todos los
miembros de la organización que necesiten conocerla, en particular para aquellos
que utilicen, operen o administren los sistemas de información y comunicaciones.
La normativa de seguridad estará disponible en la plataforma Microsoft Teams.

Todos los miembros de Ruybesa Innovative Solutions tienen la obligación de
conocer y cumplir esta Política de Seguridad de la Información y la Normativa de
Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios
necesarios para que la información llegue a los afectados.
Todos los miembros de Ruybesa Innovative Solutions atenderán a una sesión de
concienciación en materia de seguridad TIC al menos una vez al año. Se
establecerá un programa de concienciación continua para atender a todos los
miembros de Ruybesa Innovative Solutions, en particular a los de nueva
incorporación.

Las personas con responsabilidad en el uso, operación o administración de
sistemas TIC recibirán formación para el manejo seguro de los sistemas en la
medida en que la necesiten para realizar su trabajo. La formación será obligatoria
antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata
de un cambio de puesto de trabajo o de responsabilidades en el mismo

Todos los miembros de Ruybesa Innovative Solutions tienen la obligación de
conocer y cumplir esta Política de Seguridad de la Información y la Normativa de
Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios
necesarios para que la información llegue a los afectados.
Todos los miembros de Ruybesa Innovative Solutions atenderán a una sesión de
concienciación en materia de seguridad TIC al menos una vez al año. Se
establecerá un programa de concienciación continua para atender a todos los
miembros de Ruybesa Innovative Solutions, en particular a los de nueva
incorporación.

Las personas con responsabilidad en el uso, operación o administración de
sistemas TIC recibirán formación para el manejo seguro de los sistemas en la
medida en que la necesiten para realizar su trabajo. La formación será obligatoria
antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata
de un cambio de puesto de trabajo o de responsabilidades en el mismo

Cuando Ruybesa Innovative Solutions preste servicios a otros organismos o
maneje información de otros organismos, se les hará partícipes de esta Política de
Seguridad de la Información, se establecerán canales para reporte y coordinación
de los respectivos Comités de Seguridad y se establecerán procedimientos de
actuación para la reacción ante incidentes de seguridad.

Cuando Ruybesa Innovative Solutions utilice servicios de terceros o ceda
información a terceros, se les hará partícipes de esta Política de Seguridad y de la
Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera
parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo
desarrollar sus propios procedimientos operativos para satisfacerla. Se
establecerán procedimientos específicos de reporte y resolución de incidencias. Se
garantizará que el personal de terceros está adecuadamente concienciado en
materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte
según se requiere en los párrafos anteriores, se requerirá un informe del
Responsable de Seguridad que precise los riesgos en que se incurre y la forma de
tratarlos. Se requerirá la aprobación de este informe por los responsables de la
información y los servicios afectados antes de seguir adelante.

¿Tienes alguna duda? No dudes en contactarnos.
info@ruybesa.es

Ruybesa

Líderes en Integración Audiovisual

  • Menú