logoBosonit_blanco

Política de protección de datos personales y seguridad de la información

1. Misión y objetivos de la Política de Seguridad de la Información

La Política de Seguridad de la Información es un gran marco, con bases sólidas para realizar las actividades laborales de forma segura y confiable. Consideramos fundamental proteger todos los datos que manejamos, ya sean de nuestros clientes, empleados o socios, así como los propios de la organización.

 

Para lograrlo, nos esforzamos por:

  • Mantener la confidencialidad de la información: Evitamos que personas no autorizadas accedan a datos sensibles y nos aseguramos de que la información solo se comparta con quienes deben conocerla.
  • Preservar la integridad de los datos: Nos aseguramos de que la información sea precisa, completa y esté protegida de modificaciones no autorizadas.
  • Garantizar el acceso a la información: Nos preocupamos por que los usuarios autorizados puedan acceder a la información que necesitan, cuando la necesitan.

 

En resumen, queremos que nuestros sistemas y procesos sean seguros y confiables, y que todos en la organización, desde los empleados hasta nuestros colaboradores externos, sepan cómo manejar la información de forma responsable.

 

Para alcanzar esta misión, nos hemos fijado las siguientes metas:

  • Prevenir incidentes de seguridad: Tomamos medidas para evitar problemas como el robo de datos, ataques informáticos o la pérdida de información.
  • Reaccionar rápidamente ante cualquier problema: Si ocurre un incidente de seguridad, tenemos planes para controlarlo y minimizar sus consecuencias, informando en el proceso a las autoridades competentes.
  • Crear una cultura de seguridad: Queremos que todos en la empresa estén concienciados sobre la importancia de la seguridad de la información y sepan cómo contribuir a ella, por ello concienciamos a nuestros empleados.

 

Algunos ejemplos concretos de nuestras acciones:

  • Formamos a nuestros empleados sobre seguridad informática.
  • Usamos contraseñas seguras y sistemas de autenticación robustos.
  • Mantenemos nuestros sistemas actualizados para protegernos de vulnerabilidades.
  • Realizamos copias de seguridad de los servicios críticos.

2. Alcance

Esta Política de Seguridad se aplicará a toda la información de Bosonit y a los sistemas que la sustentan. A estos efectos se entiende por Bosonit:

  • Bosonit S.L. con oficinas en Avda. Gran Vía, 18 Entreplanta y 1a Planta.

 

Extendiendo el alcance de los sistemas proporcionados por Bosonit a las siguientes organizaciones:

  1. Elliot Cloud S.L. con Oficina en Avda. Gran Vía 18, entreplanta.
  2. Graphenus Big Data Solutions S.L. con Oficina en Avda. Gran Vía 18, 9a Planta.
  3. DocExploit S.L. con Oficina en Avda. Gran Vía 18, entreplanta.
  4. Appolow S.L. con Oficina en Avda. Gran Vía 18, entreplanta.
  5. Bitkeeper Solutions S.L. con Oficina en Avda. Gran Vía 18, entreplanta.

 

Se hará la referencia a todas las empresas nombradas anteriormente como a “las empresas”.

3. Marco Normativo

La legislación en materia de seguridad de la información que debe servir de referencia se actualiza de forma continua y queda reflejado en el “Anexo: Legislación aplicable”, también se puede revisar en la web de CCN en la sección dedicada al Esquema Nacional de Seguridad sobre normativa y marco normativo.

4. Organización de la seguridad

La seguridad de la información de las empresas será gestionada por un Comité de Seguridad de la Información, conformado por los siguientes roles:

 

  • Comité de Seguridad de la Información de las empresas

 

El Comité de Seguridad de la Información es el organismo que centraliza la gestión de la seguridad de la información en la organización.

Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico, o de los sistemas que la manejen, podrán crearse Comités de Seguridad delegados, dependientes funcionalmente del Comité de Seguridad de la Información principal, que serán responsables en su ámbito de las actuaciones que se les deleguen.

 

  • El Responsable de la Información

 

El Responsable de la Información será la persona con competencia suficiente para decidir sobre la finalidad, contenido y uso de dicha información y determinará, que dentro del marco establecido que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, los requisitos de seguridad de la información tratada. A tal efecto:

 

a. Determinará los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información, conforme con lo establecido en el marco que regula el Esquema Nacional de Seguridad.

b. Realizará, junto a los Responsables del Servicio y del Responsable de Seguridad, los preceptivos análisis de riesgos, y seleccionarán las salvaguardas que se han de implantar.

c. Aceptarán los riesgos residuales respecto de la información calculados en el análisis de riesgos.

d. Realizarán el seguimiento y control de los riesgos, con la participación del Responsable de Seguridad.

 

  • El/Los Responsable/s del Servicio/s

 

El/Los Responsable/s del Servicio/s será la persona con competencia suficiente para decidir sobre la finalidad y prestación de dicho servicio y determinará dentro del marco establecido que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica los requisitos de seguridad de los servicios prestados. A tal efecto:

 

a. Realizará, junto a los Responsables de la Información y de Seguridad, los preceptivos análisis de riesgos, y seleccionarán las salvaguardas que se han de implantar.

b. Aceptarán los riesgos residuales respecto de la información calculados en el análisis de riesgos.

c. Realizarán el seguimiento y control de los riesgos, con la participación del Responsable de Seguridad.

d. Suspenderá, de acuerdo con el Responsable de la Información y el Responsable de Seguridad, la prestación de un servicio electrónico o el manejo de una determinada información, si es informado de deficiencias graves de seguridad.

 

  • El Responsable de Seguridad

 

El Responsable de Seguridad será la persona determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. Tendrá las siguientes funciones:

 

a. Asunción de las funciones incluidas dentro del marco que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

b. Proponer al Responsable del Servicio la determinación de los niveles de seguridad en cada dimensión de seguridad siempre que se le solicite.

c. Realizar o promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información.

d. Realizar el seguimiento y control del estado de seguridad de los sistemas de información.

e. Proponer al Comité de Seguridad las normas de seguridad y los procedimientos de seguridad.

f. Determinar las medidas de seguridad de naturaleza técnica que deberán ser implantadas en la organización.

g. Mantener y verificar el nivel adecuado de seguridad de la Información manejada y de los servicios electrónicos prestados por los sistemas de información.

h. Promover la formación y concienciación en materia de seguridad de la información.

i. Realizar el análisis de riesgos y la declaración de aplicabilidad.

j. Determinar la categoría del sistema, en colaboración con el responsable del sistema de gestión, para su eventual aprobación por el Comité de Seguridad de la Información.

k. Participar en la elaboración e implantación de los planes de mejora de la seguridad.

l. Gestionar las auditorías y los procesos de certificación.

m. Elevar al Comité de Seguridad la aprobación de cambios y otros requisitos del sistema.

n. Supervisión del cumplimiento del SGSI y los marcos legales (ENS/GDPR).

o. Interlocución con autoridades competentes (CCN-CERT, AEPD) en caso de incidente.

Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico, o de los sistemas que la manejen, podrán designarse «responsables
de seguridad delegados», dependientes funcionalmente del responsable principal, que serán responsables en su ámbito de las actuaciones que se les deleguen.

 

  • El Responsable de Sistemas

 

El Responsable del Sistema16 será designado por la dirección de la entidad y su posición figurará en la Política de Seguridad de la Información de la entidad. Tendrá las siguientes funciones:

 

a. Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
b. Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
c. Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.

d. Implementación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.

e. Gestión, configuración y actualización, del hardware y software en los que se basan los mecanismos y servicios de seguridad del sistema de información.

f. Aplicación de los Procedimientos Operativos de Seguridad.

g. Informar al Responsable del Sistema de Gestión de Seguridad de la Información de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.

h. Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

i. Comprobar que los controles de seguridad establecidos son adecuadamente observados. 

j. Comprobar que son aplicados los procedimientos aprobados para manejar el sistema de información. 

k. Gestionar las autorizaciones y privilegios concedidos a los usuarios del sistema, incluyendo la monitorización de que la actividad desarrollada en el sistema se ajusta a lo autorizado.

l. Comprobar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.

m. Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.

n. Informar al Responsable de la Seguridad de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.

o. Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

 

El Responsable del Sistema puede proponer la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. La decisión final, que será tomada por la dirección de la entidad, debe ser acordada con los responsables de la información y los servicios afectados y el Responsable de la Seguridad.
En determinados sistemas de información que, por su complejidad, distribución, separación física de sus elementos o número de usuarios se necesite de personal adicional para llevar a cabo las funciones de Responsable del Sistema, cada organización podrá designar cuantos Responsables del Sistema Delegados considere necesarios. La designación corresponde al Responsable del Sistema, que delega funciones, no responsabilidad.
Los Responsables del Sistema Delegados se harán cargo, en su ámbito competencial, de todas aquellas acciones delegadas por el Responsable del Sistema relacionadas con la operación, mantenimiento, instalación y verificación del correcto funcionamiento del sistema de información. Es habitual que estas figuras se encarguen de subsistemas de información de cierta envergadura o de sistemas de información que presten servicios horizontales.
Cada Responsable del Sistema Delegado mantendrá una dependencia funcional directa del Responsable del Sistema, a quien reportarán.
 
  • El Responsable del Sistema de Gestión

 

a. Implementar la seguridad en el sistema y supervisar la operación diaria del mismo, siempre teniendo la posibilidad de delegar en administradores u operadores que estén bajo su responsabilidad.

b. Elaborar la Política de Seguridad de la información para que sea aprobada por la Dirección.

c. Aprobar de manera formal políticas, normas, procedimientos y estándares del SGSI.

d. Realizar el proceso de análisis y evaluación de riesgo sobre los activos.

e. Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones respecto de ellos.

f. Definir y actualizar políticas, normas, procedimientos y estándares definidos en el SGSI y promover su uso.

g. Asesorar en la aplicación de la metodología para el mantenimiento de los planes de contingencia y continuidad de negocio.

h. Promover la mejora continua del sistema de gestión de la seguridad de la información.

i. Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia de gestión de riesgos aprobada, y evitar duplicidades.

j. Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.

k. Velar por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial.

l. Coordinar los planes de continuidad de las diferentes áreas para asegurar una actuación sin fisuras en el caso de que deban ser activados.

m. Abrir, documentar y estudiar las no conformidades, acciones correctivas y acciones preventivas.

n. Realizar el seguimiento de los indicadores.

o. Detener o suspender los servicios o el acceso a la información cuando tenga conocimiento de que estos presentan deficiencias graves de seguridad que puedan ser aprovechadas por terceros para realizar ataques.

p. Prestar al responsable de seguridad y/o el Comité de Seguridad asesoramiento para la determinación de la Categoría del Sistema.

q. Gestionar todo lo relacionado con las autorizaciones concedidas a los usuarios del sistema y sus privilegios.

r. Asegurar que se cumplen los controles de seguridad establecidos.

s. Supervisará las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.

t. Monitorizar el estado de seguridad del sistema y revisar con cierta frecuencia los eventos de seguridad que se produzcan.

 

  • El Representante de la Dirección


Tiene la máxima responsabilidad sobre la Seguridad de las empresas, abarcando esta, entre otros aspectos, la Seguridad de la información, velando por el compromiso de la entidad con la seguridad y su adecuada implantación gestión y mantenimiento.

Todos estos roles se verán designados en los documentos de constitución del Comité de Seguridad de la Información.

5. Concienciación y Formación

En el afán de las empresas por asegurar la correcta implementación de un Sistema de Gestión de la Seguridad se compromete en mantener el nivel de concienciación y formación tanto de sus empleados internos como de sus colaboradores/externos en materia de seguridad de la información, evitando así los riesgos de seguridad inherentes a la falta de conocimiento en los mismos.

6. Metodología de Gestión de Riesgos

Todos los sistemas sujetos a esta Política deberán ser sometidos a un análisis y gestión de riesgos, evaluando los activos, amenazas y vulnerabilidades a los que están expuestos y proponiendo las contramedidas adecuadas para mitigar los riesgos. Aunque se precisa un control continuo de los cambios realizados en los sistemas, este análisis se repetirá:

 

  • Al menos una vez al año (mediante revisión y aprobación formal).
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

 

Para la armonización de los análisis de riesgos, se establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.

7. Clasificación de la información

Las empresas clasificarán e inventariarán los activos de la información en virtud de su naturaleza. El nivel de protección y las medidas a aplicar se basarán en el resultado de dicha clasificación.

8. Datos de carácter personal

Cuando un sistema al que afecte el Esquema Nacional de Seguridad maneje datos de carácter personal, le será de aplicación lo dispuesto en Reglamento Europeo 679/2016 de protección de datos y en la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos de Carácter Personal y sus normas de desarrollo, sin perjuicio de los requisitos establecidos en el marco regulatorio del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos de carácter personal.

9. Resolución de conflictos

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la Política de Seguridad de la Información, éste será resuelto por la Dirección de Bosonit, y prevalecerán las mayores exigencias derivadas de la protección de datos de carácter personal.

10. Relaciones con terceros

Cuando Bosonit preste servicios o ceda información a terceras partes, se les hará partícipe de esta Política de Seguridad de la Información y de las normas e instrucciones derivadas.
Asimismo, cuando Bosonit utilice servicios de terceros o ceda información a terceros se les hará igualmente partícipe de esta Política de Seguridad de la Información y de la normativa e instrucciones de seguridad que ataña a dichos servicios o información. Los terceros quedarán sujetos a las obligaciones y medidas de seguridad establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de detección y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información, al menos al mismo nivel que el establecido en esta Política de Seguridad de la Información.
En concreto, los terceros deberán garantizar el cumplimiento de la política de seguridad de la información basadas en estándares auditables que permitan verificar el cumplimiento de estas políticas. Asimismo, se garantizará mediante auditoría o certificado de destrucción/borrado que el tercera cancela y elimina los datos pertenecientes a Bosonit a la finalización del contrato.
Cuando algún aspecto de la Política de la Seguridad de la Información no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Responsable de la Información y de los Servicios afectados antes de seguir adelante. 

11. Obligaciones del personal

Todo el personal con responsabilidad en el uso, operación, o administración de sistemas de tecnologías de la información y las comunicaciones tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad derivada, independientemente del tipo de relación jurídica que les vincule con las empresas.
Todas las personas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.
La Política de Seguridad estará accesible para todo el personal que preste sus servicios en los órganos y entidades a que se refiere el punto relativo al ‘Alcance’.
Con el objetivo de fomentar la ‘Cultura de la seguridad’, el Comité de Seguridad de la Información promoverá un programa de concienciación continúa para formar a todo el personal.
El incumplimiento de la Política de Seguridad y su normativa de desarrollo dará lugar al establecimiento de medidas preventivas y correctivas encaminadas a salvaguardar y proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia de responsabilidad disciplinaria.

12. Revisión de la política

En relación con las revisiones que puedan realizarse sobre la redacción del texto que constituye la política de seguridad de la información, se distinguirán dos tipos de actividades:

 

  • Revisiones periódicas sistemáticas: Deberán realizarse cuando se detecten incidencias o cambios en el marco legal que puedan cuestionar la validez de dicha Política. La revisión de la Política de Seguridad de la Información deberá garantizar que ésta se encuentra alineada con la estrategia, la misión y visión de las empresas en materia de seguridad de la información y que asegura el cumplimiento de los objetivos de control establecidos.

 

Las revisiones periódicas se realizarán al menos con una periodicidad anual.

 

  • Revisiones no planificadas: Estas revisiones deberán realizarse en respuesta a cualquier evento o incidente de seguridad que pudiera suponer un incremento significativo del nivel de riesgo actual o haya causado un impacto en la seguridad de la información de las empresas.

13. Instrumentos de desarrollo de la Política de Seguridad

Se establece un marco normativo en materia de seguridad de la información estructurado por diferentes niveles de forma que los objetivos marcados por el presente documento tengan un desarrollo específico.
La política de seguridad estructurará su marco normativo en los siguientes niveles:

 

  1. La presente Política de Seguridad de la Información que establece los requisitos y criterios de protección de carácter global.
  2. Las normas de seguridad que definen qué hay que proteger y los requisitos de seguridad deseados. El conjunto de todas las normas de seguridad debe cubrir la protección de todos los entornos de los sistemas de información de la organización. Establecen un conjunto de expectativas y requisitos que deben ser alcanzados para poder satisfacer y cumplir cada uno de
    los objetivos de seguridad establecidos en la política. Las propone el Responsable de Seguridad y las aprueba el Comité de Seguridad de la Información.
  3. Los procedimientos de seguridad en los que describirá de forma concreta cómo proteger lo definido en las normas y las personas o grupos responsables de la implantación, mantenimiento y seguimiento de su nivel de cumplimiento. Son documentos que especifican cómo llevar a cabo las tareas habituales, quién debe hacer cada tarea y cómo identificar y reportar
    comportamientos anómalos.

 

Su aprobación dependerá de su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de información determinado.
Además, se podrán establecer guías con recomendaciones y buenas prácticas.
En la medida de lo posible, toda esta documentación será gestionada según establece el procedimiento vigente de Control de documentos y registros en las empresas, que tendrá como objetivo establecer los criterios para el control de la documentación y registros de seguridad utilizados en el Sistema de Gestión de la Seguridad de la Información y que se extiende a toda la documentación que da soporte al cumplimiento del Esquema Nacional de Seguridad.

14. Gestión de la seguridad de la información

14.1 Objetivos y medición

Los objetivos generales para el sistema de gestión de seguridad de la información son los siguientes:
crear una mejor imagen de mercado y reducir el daño ocasionado por potenciales incidentes; las metas están en línea con los objetivos comerciales, con la estrategia y los planes de negocio de la organización. El responsable de la oficina técnica de seguridad de la información es el responsable de revisar estos objetivos generales del SGSI y de establecer nuevos.
Los objetivos para controles individuales de seguridad o grupos de controles son propuestos por el responsable de la oficina técnica de seguridad de la información y son aprobados por comité de seguridad en la Declaración de aplicabilidad.
Todos los objetivos deben ser revisados al menos una vez al año.
BOSONIT medirá el cumplimiento de todos los objetivos. El responsable de la oficina técnica de seguridad de la información es el responsable de definir el método para medir el cumplimiento de los objetivos; la medición se realizará al menos al menos una vez al año y el responsable de la oficina técnica de seguridad de la información analizará y evaluará los resultados y los reportará al comité de seguridad como material para la revisión por parte de la Dirección.

14.2 Requisitos para la seguridad de la información

Esta Política, y todo el SGSI, deben cumplir los requisitos legales y normativos importantes para la organización en el ámbito de la seguridad de la información, como también con las obligaciones contractuales.
En la Lista de obligaciones legales, normativas y contractuales se detalla una lista de requisitos contractuales y legales.

14.3 Controles de seguridad de la información

El proceso de escoger los controles (protección) está definido en la metodología de evaluación y tratamiento de riesgos.
Los controles seleccionados y su estado de implementación se detallan en la Declaración de aplicabilidad.

14.4 Responsabilidades

Las responsabilidades para el SGSI son las siguientes:

  • El comité de seguridad es el responsable de garantizar que el SGSI sea implementado y mantenido de acuerdo con esta Política y de garantizar que todos los recursos necesarios estén disponibles.
  • El responsable de la oficina técnica de seguridad de la información es el responsable de la coordinación operativa del SGSI, como también de informar su desempeño.
  • La alta dirección debe revisar el SGSI al menos una vez por año o cada vez que se produzca una modificación significativa; y debe elaborar minutas de dichas reuniones. El objetivo de las verificaciones por parte de la dirección es establecer la conveniencia, adecuación y eficacia del SGSI.
  • El departamento de recursos humanos en colaboración con el responsable de la oficina técnica de seguridad de la información implementará programas de capacitación y concienciación de empleados sobre seguridad de la información.
  • La protección de la integridad, disponibilidad y confidencialidad de los activos es responsabilidad del propietario de cada activo.
  • Todos los incidentes o debilidades de seguridad deben ser informados al responsable de la oficina técnica de seguridad de la información.
  • El comité de seguridad definirá qué información relacionada con la seguridad de la información y será comunicada a qué parte interesada (tanto interna como externa), por quién y cuándo.
  • El departamento de recursos humanos es el responsable de adoptar e implementar el Plan de capacitación y concienciación, que corresponde a todas las personas que cumplen una función en la gestión de la seguridad de la información.

14.5 Comunicación de la Política

El departamento de recursos humanos debe asegurarse de que todos los empleados de BOSONIT, como también los participantes externos correspondientes, estén familiarizados con esta Política.

15. Gestión de la configuración y Logs

15.1 Revisión de la configuración de los equipos

Se realizará una revisión de la configuración de los equipos siguiendo guías de bastionado con una periodicidad anual. Las guías a seguir serán de reconocido prestigio dando prioridad a las guías CIS y las guías publicadas por el CCN.

15.2 Gestión de Logs

Se auditarán todos los eventos de seguridad críticos, estableciendo una retención de 3 meses. En caso de ser necesario como evidencia de un ataque los logs serán guardados por tanto tiempo como considere necesario el responsable de Seguridad de la Información. Si tendría afección sobre datos personales el DPO también podrá solicitar la retención de los logs por un periodo mas extenso.

15.3 Revisión de accesos específicos

Se modificarán los permisos en casos de cambios de proyectos o funciones. Semestralmente se proporcionará un listado a los managers de aquellos recursos compartidos, no personales con los usuarios que tienen acceso a los mismos, para comprobar que la herencia de permisos sea la correcta. Si algún manager detecta usuarios con accesos no permitidos, remitirá un correo al departamento de Sistemas para subsanar el error en el menor tiempo posible.

15.4 Apoyo para la implementación del SGSI

A través del presente, el comité de seguridad declara que en la implementación y mejora continua del SGSI se contará con el apoyo de los recursos adecuados para lograr todos los objetivos establecidos en esta Política, como también para cumplir con todos los requisitos identificados.

15.5 Gestión de documentos

El propietario de este documento es el responsable de la oficina técnica de seguridad de la información, que debe verificar, y si es necesario actualizar, el documento por lo menos una vez al año.
 
Al evaluar la efectividad y adecuación de este documento, es necesario tener en cuenta los siguientes criterios:
  • Cantidad de empleados y participantes externos que cumplen una función en el SGSI pero que no están familiarizados con el presente documento.
  • No cumplimiento del SGSI con las leyes y normas, las obligaciones contractuales y con los demás documentos internos de la organización.
  • Ineficacia de la implementación y mantenimiento del SGSI.
  • Responsabilidades ambiguas para la implementación del SGSI.
BN_RGB_ES

APPLUS SYSTEM CERTIFICATION 27001

LGAI Technological Center S.A.(Applus+) certifica que el sistema de Gestión de Seguridad de la información de la organización Bosonit.

Ver certificado

distintivo_ens_certificacion_ALTA

CERTIFICADO DE CONFORMIDAD CON EL ESQUEMA NACIONAL DE SEGURIDAD

LGAI Technological Center S.A.(Applus+) certifica que el sistemas de información reseñados, todos ellos de categoría ALTA, y los servicios que se relacionan de Bosonit.

Ver certificado

Bosonit

Digital Assets

Boosters

Contacto

Whitepaper de ciberseguridad

Descarga el informe completo “La importancia de la ciberseguridad desde el principio”

Descargar PDF