Globex

logo-globex

Política de Seguridad de la Información

1.   Aprobación y entrada en vigor

Texto aprobado el día 01/10/2024 por Dirección de GLOBEX TIC Sercices s.l..

Esta “Política de Seguridad de la Información”, en adelante Política, será efectiva desde su fecha de aprobación y hasta que sea reemplazada por una nueva Política.

2.   Introducción

GLOBEX TIC SERVICES S.L. depende de los sistemas TIC (Tecnologías de la Información y las Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la seguridad de la información tratada o los servicios prestados y estando siempre protegidos contra las amenazas o los incidentes con potencial para incidir en la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información tratada y los servicios prestados.

Para hacer frente a estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (ENS), así como realizar un seguimiento continuo de los niveles de prestación de los servicios, monitorizar y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los ciberincidentes para garantizar la continuidad de los servicios prestados.

De este modo, todas las unidades administrativas de GLOBEX TIC SERVICES S.L. tienen presente que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Por tanto, para GLOBEX TIC SERVICES S.L., el objetivo de la Seguridad de la Información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria para detectar cualquier incidente y reaccionando con presteza a los incidentes para recuperar los servicios lo antes posible, según lo establecido en el artículo 7 del ENS, con la aplicación de las medidas que se relacionan a continuación.

2.1 Prevención

Para que la información y/o los servicios no se vean perjudicados por incidentes de seguridad, GLOBEX TIC SERVICES S.L. implementa las medidas de seguridad establecidas por el ENS, así como cualquier otro control adicional, que haya identificado como necesario, a través de una evaluación de amenazas y riesgos. Estos controles, los roles y responsabilidades de seguridad de todo el personal, están claramente definidos y documentados.

Para garantizar el cumplimiento de la política, GLOBEX TIC SERVICES S.L.:

  • Autoriza los sistemas antes de entrar en operación.
  • Evalúa regularmente la seguridad, incluyendo el análisis de los cambios de configuración realizados de forma
  • Solicita la revisión periódica por parte de terceros, con el fin de obtener una evaluación independiente.

2.2 Detección

GLOBEX TIC SERVICES S.L. establece controles de operación de sus sistemas de información con el objetivo de detectar anomalías en la prestación de los servicios y actuar en consecuencia según lo dispuesto en el artículo 9 del ENS (reevaluación periódica). Cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales (conforme a lo indicado en el artículo 8 del ENS, Líneas de defensa), se establecerán los mecanismos de detección, análisis y reporte necesarios para que lleguen a los responsables regularmente.

2.3 Respuesta

GLOBEX TIC SERVICES S.L. establecerá las siguientes medidas:

  • Mecanismos para responder eficazmente a los incidentes de
  • Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

2.4 Recuperación

Para garantizar la disponibilidad de los servicios, GLOBEX TIC SERVICES S.L. dispone de los medios y técnicas necesarias que permiten garantizar la recuperación de los servicios más críticos.

3.  Misión de GLOBEX TIC SERVICES S.L.

GLOBEX TIC SERVICES S.L. mediante la elaboración e implantación de un Sistema de Gestión de Seguridad de la Información, adquiere los siguientes compromisos:

  • Desarrollar servicios conformes con los requisitos legislativos, identificando para ello las legislaciones de aplicación a las líneas de negocio desarrolladas por la organización e incluidas en el alcance del Sistema de Gestión de la Seguridad de la Información.
  • Establecimiento y cumplimiento de los requisitos contractuales con las partes interesadas.
  • Definir los requisitos de formación en seguridad y proporcionar la formación necesaria en dicha materia a las partes interesadas, mediante el establecimiento de planes de formación.
  • Prevención y detección de virus y otro software malicioso, mediante el desarrollo de políticas específicas y el establecimiento de acuerdos contractuales con organizaciones especializadas.
  • Gestión de la continuidad del negocio, desarrollando planes de continuidad conformes a metodologías de reconocido prestigio internacional.
  • Establecimiento de las consecuencias de las violaciones de la política de seguridad, las cuales serán reflejadas en los contratos firmados con las partes interesadas, proveedores y subcontratistas.
  • Actuar en todo momento dentro de la más estricta ética profesional.

4.  Principios básicos 

Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:

  • Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos del GLOBEX TIC SERVICES S.L., de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas de la organización para conformar un todo coherente y eficaz.
  • Responsabilidad determinada: En los sistemas TIC se determinará el Responsable de la Información, que determina los requisitos de seguridad de la información tratada; el Responsable del Servicio, que determina los requisitos de seguridad de los servicios prestados; el Responsable del Sistema, que tiene la responsabilidad sobre la prestación de los servicios y el Responsable de la Seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.
  • Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas TIC, procurando evitar cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas TIC.
  • Gestión de Riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.
  • Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
  • Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.
  • Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

5.  Objetivos de la Seguridad de la Información

GLOBEX TIC SERVICES S.L. establece como objetivos de la seguridad de la información los siguientes:

  • Asegurar y mejorar los niveles de seguridad de la información actuales en la organización
  • La protección de los datos de carácter personal y la intimidad de las personas.
  • La salvaguarda de los registros de la organización.
  • La protección de los derechos de propiedad intelectual.
  • La documentación de la política de seguridad de la información.
  • La asignación de responsabilidades de seguridad.
  • La formación y capacitación para la seguridad de la información.
  • El registro de las incidencias de seguridad.
  • La gestión de la continuidad del negocio.
  • La gestión de los cambios que pudieran darse en la empresa relativos a la seguridad

6.  Alcance

Esta Política se aplicará a los sistemas de información de GLOBEX TIC SERVICES S.L. relacionados con el ejercicio de sus competencias y a todos los usuarios con acceso autorizado a los mismos, sean o no empleados públicos y con independencia de la naturaleza de su relación jurídica con GLOBEX TIC SERVICES S.L.

Todos ellos tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y su Normativa de Seguridad derivada, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue al personal afectado.

7.  Marco normativo

El marco normativo en que se desarrollan las actividades del GLOBEX TIC SERVICES S.L., y, en particular, la prestación de sus servicios electrónicos está integrado por los siguientes requisitos legales, de las cuales la empresa se compromete a cumplir:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
  • Ley 9/2014, de 9 de mayo, general de Telecomunicaciones.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que señala en su art. 17.3 que los medios o soportes en que se almacenen documentos , deberán contar con las medidas de seguridad que establece el Esquema Nacional de Seguridad, que garanticen una serie de principios (como integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados); y, establece también, en su art. 27.3 que las Administraciones Públicas deberán cumplir con el Esquema Nacional de Seguridad para garantizar la identidad y contenido de las copias electrónicas o en papel, es decir, el carácter de copias auténticas. Por último, dispone en su Disposición Adicional segunda que, tanto las Comunidades Autónomas, como las Entidades Locales, deberán garantizar su compatibilidad informática e interconexión, así como la transmisión telemática de las solicitudes, escritos y comunicaciones que se realicen en sus correspondientes registros y plataformas mediante el cumplimiento, igualmente, del Esquema Nacional de Seguridad. Y que, además, deroga la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.

8.  Organización de la Seguridad de la Información 

8.1 Criterios utilizados para la organización de la Seguridad de la Información

GLOBEX TIC SERVICES S.L., teniendo en cuenta lo establecido en el antedicho Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) y las pautas establecidas en la Guía CCN-STIC-801 “Responsabilidades y Funciones en el ENS”, para organizar la seguridad de la información emprenderá las siguientes acciones:

  1. Designará roles de seguridad: Responsables de los Servicios, Responsables de la Información, Responsable de la Seguridad, Responsable del Sistema y Delegado de Protección de Datos.
  2. Constituirá un órgano consultivo y estratégico para la toma de decisiones en materia de Seguridad de la Información. Este órgano se constituirá como un órgano colegiado y se denominará Comité de Seguridad de la Información. Será presidido por una persona física que será la que asumirá la responsabilidad formal de sus actos.

8.2 Roles y Órganos de la Seguridad de la Información En GLOBEX TIC SERVICES S.L., en el marco del ENS, los roles y órganos de la Seguridad de la Información, serán los siguientes:

  • Responsables de los Servicios y Responsables de la Información: (Podrían ser los jefes y responsables de los diferentes órganos y unidades administrativos, o bien, aunar ambas figuras y que el Secretario General, como máxima autoridad administrativa, asumiera esas funciones).
    • Responsable de los Servicios: Jaime Pardines
    • Responsable de la Información: Jaime Pardines
  • Delegado de Protección de Datos: -.
  • Responsable de Seguridad: Miguel Ángel Olivares
  • Responsable del Sistema: Luis Guilabert
  • Comité de Seguridad de la Información:
    • Presidente: Miguel Ángel Olivares
  • Secretario/a: Responsable de la Seguridad.
  • Vocales:

  • Responsable/s de la Información
    · Responsable/s los Servicios
              · Responsable de Seguridad:  

Los Responsables de Información y los Servicios serán convocados por la presidencia en función de los asuntos a tratar.

El Comité de Seguridad de la Información se reunirá, con carácter ordinario, al menos una vez cada Seis (12) meses pudiéndose reunir de manera extraordinaria, por razones de urgencia y causa justificada, en periodos inferiores.

El Secretario/a del Comité levantará actas de las reuniones del Comité de Seguridad. A las sesiones del Comité de Seguridad podrán asistir en calidad de asesores las personas que en cada caso estime pertinentes su Presidente.

8.3 Responsabilidades de los roles asociados al Esquema Nacional de Seguridad

8.3.1 Responsable de la Información y de los Servicios

Serán funciones de los Responsables de la Información y de los Servicios:

  • Establecer y elevar para su aprobación al Comité de Seguridad de la Información los requisitos de seguridad aplicables a la Información (niveles de seguridad de la Información) ya los Servicios (niveles de seguridad de los servicios), dentro del marco establecido en el Anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. Pudiendo recabar una propuesta al Responsable de Seguridad y teniendo en cuenta la opinión del Responsable del Sistema.
  • Dictaminar respecto a los derechos de acceso a la información y los servicios.
  • Aceptar los niveles de riesgo residual que afectan a la información y los servicios.
  • Poner en comunicación del Responsable de Seguridad cualquier variación respecto a la Información y los Servicios de los que es responsable, especialmente la incorporación de nuevos Servicios o Información a su cargo. El cual dará traslado de dichos cambios, al Comité de Seguridad de la Información, en su próxima reunión.

8.3.2 Responsable de la Seguridad

Serán funciones del Responsable de Seguridad:

  • Mantener y verificar el nivel adecuado de seguridad de la Información manejada y de los Servicios electrónicos prestados por los sistemas de información.
  • Promover la formación y concienciación en materia de seguridad de la información.
  • Designar responsables de la ejecución del análisis de riesgos, de la Declaración de Aplicabilidad, identificar medidas de seguridad, determinar configuraciones necesarias, elaborar documentación del sistema.
  • Proporcionar asesoramiento para la determinación de la Categoría del Sistema, en colaboración con el Responsable del Sistema y/o Comité de Seguridad de la Información de la Información.
  • Participará en la elaboración e implantación de los planes de mejora de la seguridad y, llegado el caso, en los planes de continuidad, procediendo a su validación.
  • Gestionar las revisiones externas o internas del sistema
  • Gestionar los procesos de certificación
  • Elevar al Comité de Seguridad la aprobación de cambios y otros requisitos del

8.3.3 Responsable del Sistema      

Serán funciones del Responsable del Sistema:

  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, elaborando los procedimientos operativos
  • Definir la topología y la gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el
  • Detener el acceso a información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de
  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de
  • Proporcionar asesoramiento para la determinación de la Categoría del Sistema, en colaboración con el Responsable de Seguridad y/o Comité de Seguridad de la Información de la Información.
  • Participar en la elaboración e implantación de los planes de mejora de la seguridad y llegado el caso en los planes de
  • Llevar a cabo, en su caso, las funciones del administrador de la seguridad del sistema:
    • La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de
    • La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la actividad desarrollada en el sistema y su correspondencia con lo
    • Aprobar los cambios en la configuración vigente del Sistema de Información.
    • Asegurar que los controles de seguridad establecidos son cumplidos
    • Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información.
    • Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones
    • Monitorizar el estado de seguridad proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.
    • Informar al Responsable de Seguridad de cualquier anomalía, compromiso o vulnerabilidad relacionada con la
    • Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

Cuando la complejidad del sistema lo justifique, el Responsable del Sistema podrá designar los responsables de sistema delegados que considere necesarios, que tendrán dependencia funcional directa de aquél y serán responsables en su ámbito de todas aquellas acciones que les delegue el mismo. De igual modo, también podrá delegar en otro/s funciones concretas de las responsabilidades que se le atribuyen.

8.4 Comité de Seguridad de la Información

Serán funciones del Comité de Seguridad de la Información:

  • Aprobar y coordinar las propuestas de los Responsables de la Información y los Servicios sobre los niveles de seguridad de la información y de los servicios y asumir las funciones de los Responsables de la Información y los Servicios en las actuaciones en que se considere
  • Atender las inquietudes, en materia de Seguridad de la Información, de la Administración y de las diferentes áreas, informando regularmente del estado de la seguridad de la información a la Dirección.
  • Asesorar en materia de seguridad de la información, siempre y cuando le sea
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes Departamentos, elevando aquellos casos en los que no tenga suficiente autoridad para
  • Promover la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello se encargará de:
    • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar
    • Proponer planes de mejora de la seguridad de la información, con su dotación presupuestaria correspondiente, priorizando las actuaciones en materia de seguridad cuando los recursos sean
    • Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas
    • Realizar un seguimiento de los principales riesgos residuales asumidos y recomendar posibles actuaciones respecto de
    • Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de
    • Elaborar (y revisar regularmente) la Política de Seguridad de la Información para su aprobación por el Órgano
    • Elaborar la normativa de Seguridad de la Información para su aprobación por el Órgano Superior.
    • Verificar los procedimientos de seguridad de la información y demás documentación para su aprobación.
    • Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de seguridad de la información y protección de datos.
    • Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.
    • Promover la realización de las auditorías periódicas ENS y 27001 que permitan verificar el cumplimiento de las obligaciones del GLOBEX TIC SERVICES S.L. en materia de seguridad de la Información.

8.5 Procedimientos de designación

La creación del Comité de Seguridad de la Información, el nombramiento de sus integrantes y la designación de los Responsables identificados en esta Política, se realizará por el órgano superior de GLOBEX TIC SERVICES S.L.

El nombramiento se revisará anualmente

9.  Datos personales

GLOBEX TIC SERVICES S.L. solo recogerá y tratará datos personales cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos.

GLOBEX TIC SERVICES S.L. tiene publicado en su página web su Política de Privacidad.

10.  Obligaciones del personal

Todo el personal de GLOBEX TIC SERVICES S.L. comprendido dentro del ámbito del ENS, atenderá a una o varias sesiones de concienciación en materia de seguridad y protección de datos, al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todo el personal, en particular al de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas de información recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

 

11.  Gestión de riesgos

Todos los sistemas afectados por la presente Política de Seguridad de la Información están sujetos a un análisis de riesgos con el objetivo de evaluar las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • Al menos una vez al año.
  • Cuando cambien la información y/o los servicios manejados de manera significativa.
  • Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades

El Responsable de la Seguridad será el encargado de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento del Comité de Seguridad de la Información.

El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

El proceso de gestión de riesgos comprenderá las siguientes fases:

  • Categorización de los
  • Análisis de
  • El Comité de Seguridad de la Información procederá a la selección de medidas de seguridad a aplicar que deberán de ser proporcionales a los riesgos y estar justificadas.

Las fases de este proceso se realizarán según lo dispuesto en los Anexos I y II del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, y siguiendo las normas, instrucciones, Guías CCN-STIC y recomendaciones para la aplicación del mismo elaboradas por el Centro Criptológico Nacional.

En particular, para realizar el análisis de riesgos, como norma general se utilizará una metodología reconocida de análisis y gestión de riesgos.

12. Notificación de incidentes

De conformidad con lo dispuesto en el artículo 25 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, GLOBEX TIC SERVICES S.L. notificará al Centro Criptológico Nacional aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados en relación con la categorización de sistemas recogida en el Anexo I de dicho cuerpo legal.

13.  Desarrollo de la Política de Seguridad de la Información

La presente Política de Seguridad de la Información será complementada por medio de diversa normativa y recomendaciones de seguridad (normativas y procedimientos de seguridad, procedimientos técnicos de seguridad, informes, registros y evidencias electrónicas). Corresponde al Comité de Seguridad de la Información su revisión anual y/o mantenimiento, proponiendo, en caso de que sea necesario mejoras a la misma.

El cuerpo normativo sobre seguridad de la información se desarrollará en tres niveles por ámbito de aplicación, nivel de detalle técnico y obligatoriedad de cumplimiento, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:

  1. Primer nivel normativo: constituido por la presente Política de Seguridad de la Información, la Normativa Interna del Uso de los Medios Electrónicos y las directrices generales de seguridad aplicables a los organismos o unidades de GLOBEX TIC SERVICES S.L. a los que sea de aplicación dichos documentos.
  2. Segundo nivel normativo: constituido por las normas de seguridad derivadas de las anteriores.
  3. Tercer nivel normativo: constituido por procedimientos, guías e instrucciones técnicas. Son documentos que, cumpliendo con lo expuesto en la Política de Seguridad de la Información, determinan las acciones o tareas a realizar en el desempeño de un proceso.

Corresponde al órgano superior del GLOBEX TIC SERVICES S.L. la aprobación de la Política de Seguridad de la Información y la Normativa Interna del Uso de los Medios Electrónicos de GLOBEX TIC SERVICES S.L.

Del mismo modo, la presente Política de Seguridad de la Información complementa la Política de Privacidad de GLOBEX TIC SERVICES S.L. en materia de protección de datos.

La normativa de seguridad y, muy especialmente, la Política de seguridad de la Información y la Normativa Interna del Uso de los Medios Electrónicos, será conocida y estará a disposición de todos los miembros de la empresa, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

14.  Terceras partes

Cuando GLOBEX TIC SERVICES S.L. preste servicios a otros organismos o maneje información de otros organismos, se les hará participe de esta Política de Seguridad de la Información. Se establecerán canales para el reporte y la coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando GLOBEX TIC SERVICES S.L. utilice servicios de terceros o ceda información a terceros, se les hará participe de esta Política de Seguridad y de la normativa de seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad.

Cuando algún aspecto de esta Política de Seguridad de la Información no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

15.  Mejora continua

La gestión de la seguridad de la información es un proceso sujeto a permanente actualización. Los cambios en la organización, las amenazas, las tecnologías y/o la legislación son un ejemplo en los que es necesaria una mejora continua de los sistemas. Por ello, es necesario implantar un proceso permanente que comportará, entre otras acciones:

  1. Revisión de la Política de Seguridad de la Información.
  2. Revisión de los servicios e información y su categorización.
  3. Ejecución con periodicidad anual del análisis de riesgos.
  4. Realización de auditorías internas o, cuando procedan, externas.
  5. Revisión de las medidas de seguridad.
  6. Revisión y actualización de las normas y procedimientos.8