1. INTRODUCCIÓ

Per fer front a aquestes amenaces, es requereix una estratègia que s'adapti als canvis en les condicions de l'entorn per garantir la prestació contínua dels serveis. Això implica que els departaments han d'aplicar les mesures mínimes de seguretat exigides per l’Esquema Nacional de Seguretat (ENS), així com realitzar un seguiment continu dels nivells de prestació dels serveis, monitoritzar i analitzar les vulnerabilitats reportades, i preparar una resposta efectiva als incidents per garantir la continuïtat dels serveis prestats.

Totes les àrees i el personal de Suara tenen present que la seguretat de la informació és una part integral de cada etapa del cicle de vida del sistema, des de la seva concepció fins a la seva retirada de servei, passant per les decisions de desenvolupament o adquisició, les activitats d'explotació, la planificació d’ofertes i la gestió de projectes. La present política ha estat aprovada pel Consell Rector de Suara.

2. MISSIÓ I OBJECTIUS

Suara té com a missió vetllar pel prestigi, la qualitat i la defensa de les intervencions professionals dins de l’organització, preservant la praxi de cada actuació i donant suport a l’equip en l’exercici de les seves funcions. Garantir a la ciutadania serveis organitzats, segurs i de qualitat òptima, assegurant l’eficàcia de l’atenció i del servei prestat. Suara innova, desenvolupa i implementa serveis competitius i adaptats a les necessitats de les persones i de la comunitat, fomentant els avantatges derivats de formar part d’una organització compromesa amb la responsabilitat social i professional. Suara es regeix pels valors legals i ètics vigents, per les pautes establertes per les institucions competents i pels principis deontològics i de qualitat que defineixen la seva missió i el seu compromís amb les persones.

Suara estableix aquests objectius de la seguretat de la informació:

  • Garantir la qualitat i protecció de la informació gestionada per l’entitat.
  • Aconseguir la plena conscienciació dels usuaris respecte a la seguretat de la informació.
  • Gestionar adequadament els actius d'informació, que es trobaran inventariats i categoritzats i estan associats a un responsable.
  • Implementar els mecanismes necessaris per garantir que qualsevol persona que accedeixi als actius d'informació conegui les seves responsabilitats i es redueixi el risc derivat d'un ús indegut.
  • Garantir la seguretat física dels actius, que seran emplaçats en àrees segures, protegides per controls d'accés físics adequats al seu nivell de criticitat i amb les mesures de protecció davant amenaces físiques o ambientals.
  • Garantir la protecció de la informació que es transmet a través de xarxes de comunicacions, tenint en compte el seu nivell de sensibilitat i de criticitat, mitjançant mecanismes que garanteixin la seva seguretat.
  • Garantir una adequada gestió de la seguretat, operació i actualització dels sistemes TIC.
  • Controlant l’accés a la informació, limitant l’accés als actius d'informació per part d'usuaris, processos i altres sistemes d'informació mitjançant la implantació dels mecanismes d'identificació, autenticació i autorització adequats a la criticitat de cada actiu.
  • Contemplar els aspectes de seguretat de la informació en totes les fases del cicle de vida dels sistemes d'informació, garantint la seva seguretat per defecte.
  • Gestionar adequadament els incidents de seguretat, implementant els mecanismes apropiats per a la seva correcta identificació, registre i resolució.
  • Garantir la prestació continuada dels serveis, implementant els mecanismes apropiats per assegurar la disponibilitat dels sistemes d'informació i mantenir la continuïtat dels processos de negoci.
  • Garantir el compliment legislatiu i normatiu, adoptant les mesures tècniques, organitzatives i procedimentals necessàries per al compliment de la normativa legal vigent en matèria de seguretat de la informació i privadesa.
  • Garantir el Real Decret 311/2022 del 3 de maig en el qual es regula l’Esquema Nacional de Seguretat.
  • Complir la legislació vigent relativa a la privacitat de la informació.

3. ROLS I RESPONSABILITATS DE LA SEGURETAT DE LA INFORMACIÓ

Suara, en el marc de l'ENS, ha designat diferents rols i òrgans de la Seguretat de la Informació, associant diferents responsabilitats. 

La creació del Comitè de Seguretat de la Informació, el nomenament dels seus integrants i la designació dels Responsables identificats en aquest apartat, és realitzat per el Consell Rector.

3.1 Comité de Seguretat de la Informació

El/la Comitè de Seguretat té com a missió principal coordinar i alinear els esforços en seguretat de la informació entre les diferents àrees de l'organització per evitar duplicitats, actuant com a mediador per resoldre conflictes de responsabilitat interns.

Així mateix, s'encarrega d'assessorar en la matèria, aprovar el marc normatiu i les polítiques globals, i mantenir-se al dia de forma permanent sobre la normativa de l’ENS i les entitats acreditades. Finalment, canalitza les inquietuds dels departaments i actua com a pont clau per informar regularment la Direcció sobre l'estat real de la seguretat de la informació de l'entitat.

3.2 Responsable de Seguretat

El/la Responsable de Seguretat té la missió de definir, coordinar i supervisar la seguretat dels sistemes d'informació de Suara assegurant el compliment estricte de l'Esquema Nacional de Seguretat (ENS) i de la política de seguretat vigent. 

Per fer-ho, s'encarrega d'establir el marc de protecció, determinar les mesures tècniques i organitzatives adequades segons l'anàlisi de riscos que ell mateix coordina, i assessorar els responsables de la Informació, del Servei i del Sistema en la presa de decisions estratègiques. A més, assumeix la responsabilitat de controlar la correcta implantació d'aquestes salvaguardes, liderar la gestió i resposta davant d'incidents de seguretat i impulsar de manera permanent els plans de millora contínua de l'organització.

3.3 Responsable del Servei

El/la Responsable del Servei és la persona encarregada de garantir que les prestacions de Suara es realitzin amb els nivells de seguretat exigits per l'ENS, assumint de manera directa els riscos associats al seu funcionament. Per fer-ho, defineix les necessitats específiques de seguretat del servei, en valora l'impacte que qualsevol incidència tindria sobre la seva disponibilitat, qualitat o continuïtat, i col·labora activament en la categorització del sistema. Així mateix, s'integra en la governança de la seguretat de l'organització participant en la creació de polítiques i plans de continuïtat, alhora que es manté permanentment informat de qualsevol incident o desviació de risc que pugui comprometre l'entrega correcta i segura del servei.

3.4 Responsable de la Informació

El/la Responsable de la Informació és la persona encarregada de garantir la protecció de les dades tractades pels sistemes segons la seva naturalesa, valor i sensibilitat, assegurant el compliment de l'ENS i de la normativa aplicable. En concret, té la funció de classificar la informació, determinar-ne els requisits essencials de seguretat (confidencialitat, integritat, disponibilitat, autenticitat i traçabilitat), valorar l'impacte potencial dels incidents i assumir els riscos del seu tractament. Així mateix, participa activament en la categorització del sistema aportant aquesta valoració, accepta formalment el risc residual després d'aplicar les mesures protectores, i col·labora en la governança de la seguretat mitjançant la revisió periòdica d'aquests requisits davant de canvis en els processos, el valor de les dades o el marc legal.

3.5 Responsable del Sistema

El/la Responsable del Sistema té la responsabilitat de garantir el funcionament correcte i segur de la infraestructura tecnològica, assegurant que s'implementi, s'operi i es mantingui d’acord amb els requisits exigits per l’ENS. Per fer-ho, s'encarrega d’implantar i executar les mesures de seguretat definides a partir de la política interna i de les directrius del Responsable de Seguretat, salvaguardant la disponibilitat, integritat i continuïtat tècnica del sistema, així com de gestionar els recursos tecnològics necessaris per donar suport als serveis i a la informació. A més, aporta la visió tècnica en l'anàlisi de riscos i en la categorització del sistema, coordina la resposta operativa davant d'incidents aplicant les mesures correctores oportunes, i col·labora de forma directa en l'execució dels plans de continuïtat i recuperació de l'organització.

3.6 Delegat de Protecció de Dades

El/la Delegat Protecció de Dades té la missió d'assessorar i supervisar l'organització en matèria de privacitat, garantint el compliment estricte del RGPD i de la normativa de protecció de dades personals aplicable. En concret, s'encarrega d'orientar l'entitat sobre les obligacions legals de cada tractament, supervisar les salvaguardes de seguretat i privacitat implementades, participar en auditories i avaluacions d'impacte, i guiar els responsables de la Informació i del Servei en les decisions que afectin les dades de caràcter personal. Així mateix, actua com a nexe i punt de contacte institucional tant amb l'Autoritat de Control com amb els propis ciutadans, facilitant la gestió de la notificació d'incidents de seguretat i l'exercici de drets d'accés, rectificació o supressió.

4. DADES DE CARÀCTER PERSONAL

Suara tracta dades de caràcter personal i només les recull i tracta quan són adequades, pertinents i no excessives i aquestes es troben en relació amb l'àmbit i les finalitats per les quals s'han obtingut. De la mateixa manera, adopta les mesures tècniques i organitzatives necessàries per al compliment de la normativa de protecció de dades. 

Suara disposa d’una Política de Privacitat, la qual és pública, i que regula la gestió de les dades personals recollides.

5. OBLIGACIONS I CONSCIENCIACIÓ DEL PERSONAL

Tot el personal de Suara està obligat a conèixer i complir aquesta Política de Seguretat de la Informació i la normativa de seguretat, sent el Comitè de Seguretat el responsable de facilitar els mitjans necessaris. 

Suara ha establert un programa de sensibilització contínua per atendre a tot el personal, en particular al de nova incorporació, basat en les directrius definides internament. Apart d’altres accions que es duran a terme, tot el personal assistirà o rebrà, com a mínim, una sessió de sensibilització en matèria de seguretat i protecció de dades.

Les persones amb responsabilitat en l'ús, operació o administració de sistemes d'informació rebran formació per la gestió segura dels sistemes en la mesura en què la necessitin per fer la seva feina. La formació serà obligatòria abans d'assumir una responsabilitat, tant si és la seva primera assignació com si es tracta d'un canvi de lloc de treball o de responsabilitats en el mateix.

6. NOTIFICACIÓ D’INCIDENTS

Segons el que disposa l'article 33 del Reial decret 311/2022, de 3 de gener, Suara notificarà al Centre Criptològic Nacional aquells incidents que tinguin un impacte significatiu en la seguretat de la informació gestionada i dels serveis prestats, en relació amb la classificació de sistemes recollida a l'annex I de la normativa. 

Suara disposa d’una Política de gestió d’incidents, així com procediments específics, eines i mesures tècniques i organitzatives per la seva detecció, tractament i resposta.

7. TERCERES PARTS

Quan Suara presti serveis a altres organismes o manipuli informació d'altres organismes, se'ls farà partícip d'aquesta Política de Seguretat de la Informació.

S'establiran canals per al report i la coordinació dels respectius òrgans de la Seguretat de la Informació i s'establiran procediments d'actuació per a la reacció davant incidents de seguretat.

Quan Suara faci ús de serveis de tercers o cessi informació a tercers, se'ls farà partícip d'aquesta Política de Seguretat i de la normativa de seguretat que atenyi a aquests serveis o informació. Aquesta tercera part quedarà subjecta a les obligacions establertes en aquesta normativa, podent desenvolupar els seus propis procediments operatius per a satisfer-la. S'establiran procediments específics de report i resolució d'incidències. Es garantirà que el personal de tercers està adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que l'establert en aquesta 

Política de Seguretat

Quan algun aspecte d'aquesta Política de Seguretat de la Informació no pugui ser satisfet per una tercera part segons es requereix en els paràgrafs anteriors, es requerirà un informe del Responsable de Seguretat que precisi els riscos en què s’incorre i la forma de tractar-los. Es requerirà l'aprovació d'aquest informe pels responsables de la Informació i els Serveis afectats abans de continuar endavant.

8. COMPLIMENT DE LA POLÍTICA

El Comitè de Seguretat verificarà el compliment d'aquesta política a través de diversos mètodes, incloent però no limitat a, informes d'eines de negoci, auditories internes i externes, i retroalimentació al propietari de la política.

Qualsevol excepció a la política haurà de ser aprovada prèviament pel Comitè de Seguretat. L'incompliment d'aquesta política, a més de les sancions penals que pot comportar per a l'empresa i els seus directius i empleats, està subjecta a les sancions administratives i/o laborals corresponents que siguin d'aplicació per la normativa laboral o conveni col·lectiu vigent, així com a l'aplicació de les clàusules pe