1. OBJETIVO

Esta normativa de seguridad de la información, viene a desarrollar la Política de Seguridad de la información establecida por TINÁMICA S.L.

Esta normativa da cumplimiento al artículo 11 del Esquema Nacional de Seguridad, donde se establece la necesidad de disponer formalmente de una normativa de seguridad que articule la gestión continuada de la seguridad.

La normativa de seguridad se establece de acuerdo con los principios básicos establecidos en la política de seguridad de la información y se desarrolla aplicando los requisitos mínimos necesarios. Todos estos requisitos mínimos se establecen en proporción a los riesgos identificados en los sistemas de información, pudiendo algunos no requerirse en sistemas sin riesgos significativos.

‍

2. ALCANCE

La presente normativa se aplica toda la información y sistemas de información de la empresa Tinámica S.L. con independencia de la forma en la que se procese, quién acceda a ella, el medio que la contenga o el lugar en el que se encuentre, ya se trate de información impresa o almacenada electrónicamente. Además también cubre todos los servicios que dan soporte a los consultores de la compañía.

El Sistema de Gestión de Seguridad de la Información que soporta los servicios de consultoría y tecnología “Business Intelligence”, “Big Data”, “Analytics” y “Artificial intelligence” y “Data Governance”, que incluye actividades de diseño, desarrollo, implantación y soporte según la declaración de aplicabilidad vigente.

Por otro lado, todos los empleados de la sociedad deben cumplir la totalidad de condiciones mencionadas en la política.

‍

3. PARTES INTERESADAS, NECESIDADES Y EXPECTATIVAS

Tinámica S.L ha determinado las partes interesadas que son relevantes para el SGSI y son las siguientes:

· Empleados

· Clientes

· Proveedores

· Consejo de Administración

· Comité del SGSI

· Partners

· El usuario final que proporciona los datos

· El INCIBE

· Organismos Regulatorios (AEPD Agencia Española de Protección de Datos)

La información que requiera Tinámica, S.L. para satisfacer sus necesidades y expectativas de las partes interesadas antes mencionadas en el ámbito de sus funciones, encomendadas por el grupo de accionistas, deberá estar protegida en sus dimensiones de disponibilidad, integridad y confidencialidad, según la clasificación determinada por la Organización y las exigencias del Real Decreto de la Ley Orgánica de Protección de Carácter Personal (LOPD) y la Ley de Propiedad intelectual (LPI). Se ha tenido en cuenta el impacto en el cambio climático y no se ha considerado relevante por ninguna de nuestras partes interesadas a excepción de los requisitos de continuidad del negocio.

3.1 Empleados:

· Intereses: Los empleados de Tinámica tienen un interés directo en la política, ya que afecta la forma en que manejan y acceden a los datos en el curso de sus responsabilidades laborales. Protección de datos personales, formación en seguridad, y transparencia en el uso de la información del empleado.

· Expectativas y Necesidades: Los empleados esperan claridad sobre cómo deben manejar los datos, sus derechos en relación con la privacidad y la seguridad de su información personal.

3.2. Clientes:

· Intereses: Seguridad y confidencialidad de los datos compartidos con Tinámica.

· Expectativas y Necesidades: Los clientes esperan transparencia sobre cómo se manejan y protegen sus datos, así como la garantía de que sus derechos de privacidad se respetarán.

3.3 Proveedores:

· Intereses: Garantías de seguridad en la gestión de datos proporcionados a Tinámica.

· Expectativas y Necesidades: Requisitos de seguridad claros en contratos, protección de datos de proveedores y evaluaciones periódicas de seguridad.

3.4 Consejo de Administración:

· Intereses: Garantizar la gestión responsable y segura de datos que afecten a la empresa.

· Expectativas y Necesidades: Informes regulares sobre postura de seguridad, cumplimiento normativo y medidas para mitigar riesgos.

3.5 Comité del SGSI:

· Intereses: Supervisar la implementación y eficacia del Sistema de Gestión de Seguridad de la Información (SGSI).

· Expectativas y Necesidades: Información detallada sobre políticas, informes de incidentes, y evaluaciones periódicas del SGSI.

3.6 El usuario final que proporciona los datos:

· Intereses: Confianza en la protección de sus datos y transparencia en el uso.

· Expectativas y Necesidades: Acceso a políticas de privacidad, control sobre sus datos, y mecanismos de consentimiento informado.

3.7 El INCIBE (Instituto Nacional de Ciberseguridad):

· Intereses: Contribuir a la ciberseguridad y protección de datos en organizaciones.

· Expectativas y Necesidades: Colaboración en buenas prácticas, informes sobre incidentes, y participación en programas de concienciación.

3.8 Organismos Regulatorios (AEPD - Agencia Española de Protección de Datos):

· Intereses: Garantizar el cumplimiento de la normativa de protección de datos.

· Expectativas y Necesidades: Cooperación en auditorías, notificación de incidentes y cumplimiento de requisitos legales.

‍

4. REFERENCIAS

· Norma UNE-ISO/IEC20000-1

· Norma UNE-EN-ISO 27001

· Esquema Nacional de seguridad

· Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.

· Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.

‍

5. RESPONSABILIDADES

- Asegurar que se cumplen las directrices de seguridad de control de acceso citadas en el presente documento: Comité de Seguridad de la Información.

- Comunicar y hacer cumplir las pautas relativas a las directrices de esta normative: Responsable de Seguridad (Marta Calsina) y responsables de Área.

‍

6. INTRODUCCIÓN

Este documento es la normativa interna de Tinámica S.L, para el tratamiento de la información y de la seguridad de los sistemas de información. Consideramos la información como uno de los activos más importantes de nuestra organización, lo que hace que requiera una protección adecuada y específica.

La política y normativa sobre seguridad de la información de Tinámica S.L pretende proteger sus activos de información para que nadie pueda acceder, usar, divulgar, interrumpir, modificar, consultar, inspeccionar, grabar o destruir datos sin autorización.

Por este motivo la organización ha optado por aplicar un modelo de gestión, basado en el Sistema de Gestión de Seguridad de la Información (SGSI) sobre los estándares internacionales ISO 2700-1, que permita, a través de un entorno de procesos de aseguramiento de la calidad, gestionar controles de seguridad en base a un trabajo constante de mejora continua basado en análisis de riesgos, evolución tecnológica, formación y concienciación de las personas y el cumplimiento y aseguramiento de las políticas definidas y transmitidas.

Se dará acceso a los empleados a información de Tinámica S.L en la medida en que la necesiten para realizar su trabajo. Proteger adecuadamente dicha información es algo fundamental, no solo en interés de EMPRESA sino también de los clientes y socios comerciales.

Se puede acceder a la información de Tinámica S.L teniendo en cuenta los conceptos de “necesidad de conocimiento” y “propietarios de la información”. El principio “necesidad de conocimiento” significa que la información no será revelada a personas que no tengan una necesidad profesional legítima y demostrable para recibirla. El concepto “propietario de la información” protege los datos de Tinámica S.L de divulgaciones, utilizaciones, modificaciones o eliminaciones no autorizadas.

Los ordenadores y sistemas de información de Tinámica S.L están pensados para usarse exclusivamente con fines profesionales. Queda estrictamente prohibido todo material ofensivo que pueda dejar en mal lugar a la sociedad, incluido contenido de carácter sexista, racista, violento, pornográfico o de otra índole en los ordenadores, servidores, aplicaciones, redes, medios de almacenamiento y servicios, como pueden ser la nube.

Si bien la presente política describe las consideraciones que deberían tener en cuenta los empleados antes, durante y después de la revelación de información, no se pueden mencionar de manera específica todas las situaciones posibles.

‍

7. DEFINICIONES

7.1. Definiciones

La información es un importante activo de la organización, que se emplea en el trabajo cotidiano para realizar operaciones

empresariales, planificar, controlar, transportar, tomar decisiones y definir estrategias. Por consiguiente, exige una protección adecuada

Los sistemas de información son una combinación de hardware, software, infraestructuras y personal cualificado que se organizan para facilitar la planificación, control, coordinación y toma de decisiones con la finalidad de mejorar la eficiencia y eficacia de la organización.

7.2. Cumplimiento

Todos los empleados (a jornada completa o a media jornada, consultores, trabajadores temporales u otro personal pertinente) que usen la información y sistemas de información de Tinámica S.L. deben cumplir dicha política.

7.3. Responsable de la seguridad de la información (RSI)

El director de Tinámica S.L. designará a un responsable de la seguridad de la información (RSI). El Responsable de Seguridad de la Información a través del Comité de los Sistemas Integrado de Gestión (SIG) de la organización ya que esta es responsable de organizar las funciones, responsabilidades, así como de facilitar los recursos adecuados para conseguir los objetivos del SGSI. Además, los directivos son también responsables de dar buen ejemplo siguiendo las normas de seguridad establecidas.

Actualmente la responsabilidad esencial de la Seguridad de la Información recae sobre del Comité de los Sistemas Integrado de Gestión (SIG) de la organización y al responsable de la seguridad de la información (RSI), ya que esta es responsable de organizar las funciones, responsabilidades, así como de facilitar los recursos adecuados para conseguir los objetivos del SGSI. Además, los directivos son también responsables de dar buen ejemplo siguiendo las normas de seguridad establecidas.

Estos principios son asumidos por la Dirección, quien dispone los medios necesarios y dota a sus empleados de los recursos suficientes para su cumplimiento, plasmándolos y poniéndolos en público conocimiento a través de la intranet.

Los roles o funciones de seguridad definidos por diferente reglamentos o normas se resumen y se asignan de la siguiente manera:

El Comité Operativo de Seguridad de la Información es el órgano con mayor responsabilidad dentro del sistema de Gestión de seguridad de la información, su función entre otras es asegurar que se ejecutan e implantan las estrategias definidas y se utilizan las medidas necesarias, además de detectar cualquier riesgo o necesidad en materia de Seguridad de la Información. Las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité. Los miembros son:

· Responsable de la Seguridad de la información

· CEO

· Director Desarrollo de Negocio

· Responsable de la información

· Responsable de Recursos Humanos

· Responsable de Operaciones y Calidad

Estos miembros son designados por el propio comité, único órgano que puede nombrarlos, renovarlos y cesarlos. Sin embargo, el Comité Operativo de Seguridad de la Información se subordina al comité de Dirección, el cual un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones.

El Comité Operativo de la Seguridad de la Información (Comité Operativo del SIG20/27), es el brazo ejecutor del Comité del SIG, y su función entre otras es asegurar que se ejecutan e implantan las estrategias definidas y las medidas necesarias, también es su responsabilidad la de escalar al Comité del SIG cualquier riesgo o necesidad detectada en materia de Seguridad de la Información.