1. INTRODUCCIÓN

Para hacer frente a estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (ENS), así como realizar un seguimiento continuo de los niveles de prestación de los servicios, monitorizar y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva ante los incidentes para garantizar la continuidad de los servicios prestados.

Todas las áreas y el personal de Suara tienen presente que la seguridad de la información es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada del servicio, pasando por las decisiones de desarrollo o adquisición, las actividades de explotación, la planificación de ofertas y la gestión de proyectos. La presente política ha sido aprobada por el Consejo Rector de Suara.

2. MISIÓN Y OBJETIVOS

Suara tiene como misión velar por el prestigio, la calidad y la defensa de las intervenciones profesionales dentro de la organización, preservando la praxis de cada actuación y apoyando al equipo en el ejercicio de sus funciones. Garantizar a la ciudadanía unos servicios organizados, seguros y de óptima calidad, asegurando la eficacia de la atención y del servicio prestado. Suara innova, desarrolla e implementa servicios competitivos y adaptados a las necesidades de las personas y de la comunidad, fomentando las ventajas derivadas de formar parte de una organización comprometida con la responsabilidad social y profesional. Suara se rige por los valores legales y éticos vigentes, por las directrices establecidas por las instituciones competentes y por los principios deontológicos y de calidad que definen su misión y su compromiso con las personas.

Suara establece los siguientes objetivos de seguridad de la información:

  • Garantizar la calidad y la protección de la información gestionada por la entidad.
  • Alcanzar una plena concienciación de los usuarios respecto a la seguridad de la información.
  • Gestionar adecuadamente los activos de información, que estarán inventariados y categorizados y asociados a un responsable.
  • Implementar los mecanismos necesarios para garantizar que cualquier persona que acceda a los activos de información conozca sus responsabilidades y se reduzca el riesgo derivado de un uso indebido.
  • Garantizar la seguridad física de los activos, que estarán ubicados en áreas seguras, protegidas mediante controles de acceso físicos adecuados a su nivel de criticidad y con medidas de protección frente a amenazas físicas o ambientales.
  • Garantizar la protección de la información que se transmite a través de redes de comunicaciones, teniendo en cuenta su nivel de sensibilidad y criticidad, mediante mecanismos que garanticen su seguridad.
  • Garantizar una adecuada gestión de la seguridad, operación y actualización de los sistemas TIC.
  • Controlar el acceso a la información, limitando el acceso a los activos de información por parte de usuarios, procesos y otros sistemas de información mediante la implantación de mecanismos de identificación, autenticación y autorización adecuados a la criticidad de cada activo.
  • Contemplar los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
  • Gestionar adecuadamente los incidentes de seguridad, implementando los mecanismos apropiados para su correcta identificación, registro y resolución.
  • Garantizar la prestación continuada de los servicios, implementando los mecanismos adecuados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de los procesos de negocio.
  • Garantizar el cumplimiento legislativo y normativo, adoptando las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información y privacidad.
  • Garantizar el cumplimiento del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Cumplir la legislación vigente relativa a la privacidad de la información.

3. ROLES Y RESPONSABILIDADES DE LA SEGURIDAD DE LA INFORMACIÓN

Suara, en el marco del ENS, ha designado diferentes roles y órganos de la Seguridad de la Información, asignándoles distintas responsabilidades.

La creación del Comité de Seguridad de la Información, el nombramiento de sus integrantes y la designación de los Responsables identificados en este apartado son realizados por el Consejo Rector.

3.1 Comité de Seguridad de la Información

El Comité de Seguridad tiene como misión principal coordinar y alinear los esfuerzos en materia de seguridad de la información entre las diferentes áreas de la organización para evitar duplicidades, actuando como mediador para resolver conflictos internos de responsabilidad.

Asimismo, se encarga de asesorar en esta materia, aprobar el marco normativo y las políticas globales, y mantenerse permanentemente actualizado sobre la normativa del Esquema Nacional de Seguridad (ENS) y las entidades acreditadas. Finalmente, canaliza las inquietudes de los departamentos y actúa como un enlace clave para informar periódicamente a la Dirección sobre el estado real de la seguridad de la información de la entidad.

3.2 Responsable de Seguridad

El Responsable de Seguridad tiene la misión de definir, coordinar y supervisar la seguridad de los sistemas de información de Suara, asegurando el estricto cumplimiento del Esquema Nacional de Seguridad (ENS) y de la política de seguridad vigente.

Para ello, se encarga de establecer el marco de protección, determinar las medidas técnicas y organizativas adecuadas de acuerdo con el análisis de riesgos que él mismo coordina, y asesorar a los Responsables de la Información, del Servicio y del Sistema en la toma de decisiones estratégicas. Además, asume la responsabilidad de controlar la correcta implantación de estas salvaguardas, liderar la gestión y respuesta ante incidentes de seguridad e impulsar de forma permanente los planes de mejora continua de la organización.

3.3 Responsable del Servicio

El Responsable del Servicio es la persona encargada de garantizar que las prestaciones de Suara se realicen con los niveles de seguridad exigidos por el ENS, asumiendo de forma directa los riesgos asociados a su funcionamiento. Para ello, define las necesidades específicas de seguridad del servicio, evalúa el impacto que cualquier incidencia podría tener sobre su disponibilidad, calidad o continuidad y colabora activamente en la categorización del sistema. Asimismo, se integra en la gobernanza de la seguridad de la organización participando en la elaboración de políticas y planes de continuidad, al tiempo que permanece permanentemente informado de cualquier incidente o desviación del riesgo que pueda comprometer la correcta y segura prestación del servicio.

3.4 Responsable de la Información

El Responsable de la Información es la persona encargada de garantizar la protección de los datos tratados por los sistemas en función de su naturaleza, valor y sensibilidad, asegurando el cumplimiento del ENS y de la normativa aplicable. En concreto, tiene la función de clasificar la información, determinar sus requisitos esenciales de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad), evaluar el impacto potencial de los incidentes y asumir los riesgos derivados de su tratamiento. Asimismo, participa activamente en la categorización del sistema aportando dicha valoración, acepta formalmente el riesgo residual tras la aplicación de las medidas de protección y colabora en la gobernanza de la seguridad mediante la revisión periódica de estos requisitos ante cambios en los procesos, en el valor de los datos o en el marco legal.

3.5 Responsable del Sistema

El Responsable del Sistema tiene la responsabilidad de garantizar el correcto y seguro funcionamiento de la infraestructura tecnológica, asegurando que se implante, opere y mantenga de acuerdo con los requisitos exigidos por el ENS. Para ello, se encarga de implantar y ejecutar las medidas de seguridad definidas a partir de la política interna y de las directrices del Responsable de Seguridad, salvaguardando la disponibilidad, la integridad y la continuidad técnica del sistema, así como de gestionar los recursos tecnológicos necesarios para dar soporte a los servicios y a la información. Además, aporta la visión técnica en el análisis de riesgos y en la categorización del sistema, coordina la respuesta operativa ante incidentes aplicando las medidas correctoras oportunas y colabora de forma directa en la ejecución de los planes de continuidad y recuperación de la organización.

3.6 Delegado de Protección de Datos

El Delegado de Protección de Datos tiene la misión de asesorar y supervisar a la organización en materia de privacidad, garantizando el estricto cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la normativa aplicable en materia de protección de datos personales. En concreto, se encarga de orientar a la entidad sobre las obligaciones legales de cada tratamiento, supervisar las salvaguardas de seguridad y privacidad implantadas, participar en auditorías y evaluaciones de impacto y guiar a los Responsables de la Información y del Servicio en las decisiones que afecten a los datos de carácter personal. Asimismo, actúa como enlace y punto de contacto institucional tanto con la Autoridad de Control como con los propios ciudadanos, facilitando la gestión de la notificación de incidentes de seguridad y el ejercicio de los derechos de acceso, rectificación o supresión.

4. DATOS DE CARÁCTER PERSONAL

Suara trata datos de carácter personal y únicamente los recopila y trata cuando son adecuados, pertinentes y no excesivos, y siempre en relación con el ámbito y las finalidades para las que han sido obtenidos. Del mismo modo, adopta las medidas técnicas y organizativas necesarias para garantizar el cumplimiento de la normativa de protección de datos.

Suara dispone de una Política de Privacidad, de carácter público, que regula la gestión de los datos personales recopilados.

5. OBLIGACIONES Y CONCIENCIACIÓN DEL PERSONAL

Todo el personal de Suara está obligado a conocer y cumplir la presente Política de Seguridad de la Información y la normativa de seguridad, siendo el Comité de Seguridad el responsable de facilitar los medios necesarios para ello.

Suara ha establecido un programa de sensibilización continua dirigido a todo el personal, especialmente al de nueva incorporación, basado en las directrices definidas internamente. Además de otras acciones que se llevarán a cabo, todo el personal asistirá o recibirá, como mínimo, una sesión de sensibilización en materia de seguridad y protección de datos.

Las personas con responsabilidades en el uso, operación o administración de sistemas de información recibirán la formación necesaria para la gestión segura de dichos sistemas en la medida en que lo requieran para el desempeño de sus funciones. Esta formación será obligatoria antes de asumir una responsabilidad, tanto si se trata de su primera asignación como de un cambio de puesto o de responsabilidades dentro de la organización.

6. NOTIFICACIÓN DE INCIDENTES

De conformidad con lo dispuesto en el artículo 33 del Real Decreto 311/2022, de 3 de mayo, Suara notificará al Centro Criptológico Nacional aquellos incidentes que tengan un impacto significativo en la seguridad de la información gestionada y de los servicios prestados, en relación con la clasificación de sistemas recogida en el Anexo I de dicha norma.

Suara dispone de una Política de Gestión de Incidentes, así como de procedimientos específicos, herramientas y medidas técnicas y organizativas para su detección, tratamiento y respuesta.

7. TERCERAS PARTES

Cuando Suara preste servicios a otros organismos o trate información perteneciente a otras entidades, estas serán informadas de la presente Política de Seguridad de la Información.

Se establecerán canales para la comunicación y coordinación entre los respectivos órganos responsables de la Seguridad de la Información, así como procedimientos de actuación para la respuesta ante incidentes de seguridad.

Cuando Suara utilice servicios de terceros o ceda información a terceros, estos serán informados de la presente Política de Seguridad y de la normativa de seguridad que resulte aplicable a dichos servicios o información. Dichos terceros quedarán sujetos a las obligaciones establecidas en esta normativa y podrán desarrollar sus propios procedimientos operativos para darles cumplimiento. Asimismo, se establecerán procedimientos específicos de comunicación y resolución de incidencias. Se garantizará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad.

Cuando algún aspecto de esta Política de Seguridad de la Información no pueda ser cumplido por un tercero en los términos exigidos en los apartados anteriores, será necesario un informe del Responsable de Seguridad en el que se especifiquen los riesgos asumidos y la forma de tratarlos. Dicho informe deberá ser aprobado por los Responsables de la Información y de los Servicios afectados antes de continuar con la prestación del servicio.

8. CUMPLIMIENTO DE LA POLÍTICA

El Comité de Seguridad verificará el cumplimiento de esta política mediante diversos mecanismos, incluyendo, entre otros, informes procedentes de herramientas de gestión, auditorías internas y externas y la retroalimentación proporcionada al responsable de la política.

Cualquier excepción a esta política deberá ser aprobada previamente por el Comité de Seguridad. El incumplimiento de esta política, además de las posibles sanciones penales que pueda conllevar para la empresa, sus directivos y empleados, estará sujeto a las sanciones administrativas y/o laborales que resulten de aplicación conforme a la legislación laboral o al convenio colectivo vigente, así como a la aplicación de las cláusulas contractuales correspondientes.