Política de Seguridad

Introducción y aspecto generales

Binalex Consultoría Tecnológica S.L. (en adelante, Binaura), depende de los sistemas TIC para alcanzar sus objetivos de negocio. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la seguridad de la información tratada o los servicios prestados y estando siempre protegidos contra las amenazas o los incidentes con potencial para incidir en la confidencialidad, integridad, autenticidad y disponibilidad de la información

Por tanto, para Binaura, el objetivo de la Seguridad de la Información es garantizar la seguridad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria para detectar cualquier vulnerabilidad, amenaza o posible evento de seguridad y reaccionando con presteza a los incidentes para recuperar los servicios lo antes posible, con la aplicación de las medidas necesarias.

Por todo ello, Binaura establece que la denominación de Sistema de Gestión de Seguridad de la Información comprenderá el cumplimiento de las normativas ISO 27001 y Esquema Nacional de Seguridad, adhiriéndose por lo tanto a las medidas mínimas de seguridad exigidas por dichas normativas, teniendo presente que la seguridad es una parte integral de cada etapa del sistema, desde su concepción y diseño hasta su retirada de servicio.

Alcance

Esta Política es aplicable a quienes tengan acceso los recursos que hayan sido identificados como “activos de información” de la empresa, dentro del alcance formal definido en BINAURA-SGSI-DOC-04-1-Contexto, requisitos y alcance del SGSI. Dichos requisitos de protección afectan a toda la información en soporte electrónico o físico, y a los sistemas de información propiedad de Binaura o gestionados por la empresa.

Todo el personal tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información y su Normativa de Seguridad derivada, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue al personal afectado.

Actores y responsabilidades

El documentoBINAURA-SGSI-NS-05-01-Funciones y Responsabilidades de Seguridad de la Información establece todos los roles del SGSI y sus responsabilidades.

Principios de seguridad

Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:

Alcance estratégico: La dirección de Binaura mostrará su compromiso y apoyo con la seguridad de la información, de forma que el SGSI esté coordinado e integrado con el resto de las iniciativas estratégicas de la organización para conformar un todo coherente y eficaz.
Eficacia e Integridad de la Información: Binaura se asegurará de que toda la información utilizada sea necesaria, suficiente, exacta y útil, y que se mantendrá disponible para el desarrollo de la actividad de la empresa, evitando redundancias y asegurando su relevancia.
Eficiencia en el Procesamiento: Optimizar el uso de recursos humanos y materiales para el procesamiento de la información, garantizando que se realice de manera ágil y con el menor costo posible.
Responsabilidad determinada: Todos los roles que intervienen en el Sistema de Gestión de Seguridad de la Información (SGSI) se identificarán en la normativa donde se detallarán sus responsabilidades y requisitos mínimos. Se garantizará además que todas las partes interesadas son conscientes y responsables de tutelar la seguridad de los sistemas de información y de las acciones que se puedan emprender para reforzar la misma.
Privacidad de la Información Personal y de los datos confidenciales: Asegurar la seguridad en la recogida, uso, conservación, divulgación y eliminación de información personal y datos clasificados por Binaura como confidenciales o secretos, cumpliendo con la normativa de protección de datos y la normativa de seguridad propia de la empresa.
Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos de Binaura procurando evitar cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño hasta el fin de su ciclo de vida. Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
Cumplimiento legal y normativo: Asegurar que toda la información y los medios que la contienen, procesan y/o transportan cumplan con las regulaciones legales vigentes en cada ámbito, evitando sanciones y riesgos legales, pero además asegurando también el cumplimiento de las normas y certificaciones que Binaura ha establecido aplicar.
Gestión de Riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.
Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información, y de los procesos y servicios afectados.
Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.

Datos personales

Binaura solo recogerá y tratará datos personales cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos.

Terceras partes

Cuando Binaura preste servicios a otros organismos o maneje información de otros organismos, se les hará participe de esta Política de Seguridad de la Información. Se establecerán canales para el reporte y la coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando Binaura utilice servicios de terceros o ceda información a terceros, se les hará participe de esta Política de Seguridad y de la normativa de seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad.
Cuando algún aspecto de esta Política de Seguridad de la Información no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

Gestión de riesgos

Todos los activos de información y procesos afectados por la presente Política de Seguridad de la Información están sujetos a un análisis de riesgos con el objetivo de evaluar las amenazas y los riesgos a los que están expuestos.
Este análisis se repetirá mínimo una vez al año, y siempre que cambien la información y/o los servicios manejados de manera significativa y/o cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.
Binaura dispone de una norma aprobada para todo el ciclo de gestión de riesgos

Gestión de incidentes

Binaura tiene establecidas las siguientes medidas:

Mecanismos para responder eficazmente a los incidentes de seguridad.
Notificación de incidentes y comunicaciones:
- Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
- Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
- De conformidad con lo dispuesto en el artículo 33 del RD 311/2022, de 3 de mayo, Binaura notificará al Centro Criptológico Nacional aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados en relación con la categorización de sistemas recogida en el Anexo I de dicho cuerpo legal.

Mejora continua

La gestión de la seguridad de la información es un proceso sujeto a permanente actualización. Los cambios en la organización, las amenazas, las tecnologías y/o la legislación son un ejemplo en los que es necesaria una mejora continua de los sistemas. Por ello, Binaura revisa y mejora de forma continua las políticas, procesos y medidas de seguridad para garantizar su eficacia y adecuación.

Auditoría interna

Binaura realiza auditorías, internas y externas, con el fin de verificar:

Si se cumplen los requisitos de la norma internacional, así como la legislación y otras normativas aplicables al SGSI.
Si se cumplen los objetivos de seguridad identificados.
Si se han implantado y mantienen los controles de forma efectiva.
Si se están logrando los resultados esperados.

Declaración de autoridad sobre la política

El Comité de Seguridad de la Información tiene la autoridad para verificar el cumplimiento de la presente Política de Seguridad y Privacidad, la responsabilidad de hacer cumplir las directrices generales y actuaciones correspondientes contenidas en el mismo y la independencia para plantear acciones correctivas y preventivas necesarias para cumplir los objetivos del plan de tratamiento de riesgos y la mejora continua de la seguridad de la información.

Es responsabilidad de todas las personas y departamentos implicados en los procesos o servicios incluidos en el alcance el obligado cumplimiento de la presente Política de Seguridad y Privacidad. Para conseguir este propósito es necesaria la implicación y participación de todos los empleados de Binaura.

También podrá requerir la participación de proveedores y terceros en la aplicación de las medidas de seguridad que se determinen como mínimos exigibles.

El Comité de Seguridad es responsable de la Política de Seguridad y Privacidad, y deberá realizar la revisión periódica en respuesta a los cambios en la normativa, legislación y/o requisitos contractuales, a los cambios de estrategia de negocio, o del entorno de la organización, ya sea a nivel técnico, organizativo, o en lo concerniente a las amenazas actuales y previstas para la seguridad de la información, así como por el conocimiento adquirido gracias al estudio de los eventos e incidentes que puedan haber ocurrido y al análisis de los resultados de las auditorías internas y externas realizadas. En todo caso, dicha revisión se realizará como mínimo una vez al año.

En caso de que se detecte un uso indebido que atente contra la seguridad de la empresa, contra la normativa vigente -especialmente en materia de protección de datos-, o bien que contravenga la presente Política de Seguridad, la empresa podrá tomar las medidas correctoras o sanciones disciplinarias oportunas en función de la gravedad de la infracción, así como proceder a registrar el contenido de los equipos afectados si fuere necesario, siempre respetando el contenido del artículo 18 del Estatuto de los Trabajadores.

Cookie	Duración	Descripción
_ga	2 años	Cookie analítica de Google que calcula los visitantes, sesiones, datos de campañas, y mantiene el registro de uso de la web. La información que almacena es anónima y utiliza números aleatorios para identificar a los visitantes de forma única.
_gid	1 dia	Almacena información sobre cómo usan la web sus visitantes, con el objetivo de crear informes y analíticas. Almacenan de forma anónima el número de visitantes, de dónde vienen y las páginas visitadas.
_hjFirstSeen	Sesión	Está cookie de Hotjar está configurada para identificar la primera sesión de un nuevo usuario. Almacena un valor verdadero / falso, que indica si esta fue la primera vez que se vio a este usuario. Lo utilizan los filtros de grabación para identificar nuevas sesiones de usuario.

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Analytics".
cookielawinfo-checbox-functional	11 months	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checbox-others	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Otros".
cookielawinfo-checkbox-necessary	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie es establecida por el plugin GDPR Cookie Consent y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_gat_UA-191876745-1	1 minuto	Cookie de Google Analytics utilizada para controlar el número de peticiones, en caso de webs con alto tráfico.
_hjAbsoluteSessionInProgress	30 minutos	Esta cookie se utiliza para detectar la primera sesión de vista de página de un usuario. Este es un indicador de Verdadero / Falso establecido por la cookie.
_hjid	1 año	Cookie de Hotjar que se establece cuando el cliente llega por primera vez a una página con el script Hotjar. Se utiliza para conservar la ID de usuario de Hotjar, única para ese sitio en el navegador. Esto asegura que el comportamiento en visitas posteriores al mismo sitio se atribuirá al mismo ID de usuario.
_hjIncludedInPageviewSample	2 minutos	Esta cookie está configurada para que Hotjar sepa si ese visitante está incluido en el muestreo de datos definido por el límite de visitas a la página de su sitio.