INDICE
1. OBJETIVO Y DESARROLLO 3
2. PRINCIPIOS BÁSICOS ENS 5
3. ORGANIZACIÓN DE SEGURIDAD 6
4. GESTIÓN DE RIESGOS 8
5. GESTIÓN DEL PERSONAL 9
6. PROFESIONALIDAD Y SEGURIDAD DE LOS RECURSOS HUMANOS 9
7. AUTORIZACIÓN Y CONTROL DE ACCESO A LOS SISTEMAS DE INFORMACIÓN 11
8. PROTECCIÓN DE LAS INSTALACIONES 12
9. ADQUISICIÓN DE PRODUCTOS 13
10. SEGURIDAD POR DEFECTO 13
11. INTEGRIDAD Y ACTUALIZACIÓN DEL SISTEMA 14
12. PROTECCIÓN DE LA INFORMACIÓN ALMACENADA Y EN TRÁNSITO 14
13. PREVENCIÓN DE SISTEMAS DE INFORMACIÓN INTERCONECTADOS 15
14. REGISTROS DE ACTIVIDAD 15
15. CONTINUIDAD DE LA ACTIVIDAD 16
16. MEJORA CONTINUA DEL PROCESO DE SEGURIDAD 16
17. INFORMACIÓN DOCUMENTADA Y CALIFICACIÓN DE LA INFORMACIÓN 16
18. GESTIÓN DE LOS RIESGOS PERSONALES (RGPD) 17
1. OBJETIVO Y DESARROLLO
COMPUTER GLOBAL SOFTWARE, S.L., como empresa dedicada a Sistema de Información que dan
soporte a SERVICIO DE DESARROLLO Y EDICIÓN DE APLICACIONES MÓVILES, con el fin de ofrecer a
todos sus grupos de interés las mayores garantías en torno a la seguridad de la información utilizada.
Por todo lo anteriormente expuesto, la Dirección establece los siguientes objetivos de seguridad de la
información:
● Proporcionar un marco para aumentar la capacidad de resistencia o resiliencia para dar una
respuesta eficaz.
● Asegurar la recuperación rápida y eficiente de los servicios, frente a cualquier desastre físico o
contingencia que pudiera ocurrir y que pusiera en riesgo la continuidad de las operaciones
● Prevenir incidentes de seguridad de la información en la medida que sea técnica y
económicamente viable, así como mitigar los riesgos de seguridad de la información generados
por nuestras actividades.
● Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la
información.
Para poder lograr estos objetivos es necesario:
● Mejorar continuamente nuestro sistema de seguridad de la información
● Cumplir con requisitos legales aplicables y con cualesquiera otros requisitos que suscribimos
además de los compromisos adquiridos con los clientes, así como la actualización continua de
los mismos. El marco legal y regulatorio en el que desarrollamos nuestras actividades es:
o REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de
2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos.
o Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales.
o Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
o Real Decreto-ley 2/2018, de 13 de abril, por el que se modifica el texto refundido de la Ley
de Propiedad Intelectual.
o Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad
modificado por el Real Decreto 951/2015, de 23 de octubre.
o Norma UNE-EN ISO/IEC 27001 para la seguridad de la información.
o Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio
Electrónico (LSSI).
o Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el ámbito de la Administración Electrónica.
o Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de
Seguridad.
● Identificar las amenazas potenciales, así como el impacto en las operaciones de negocio que
dichas amenazas, caso de materializarse, puedan causar.
● Preservar los intereses de sus principales partes interesadas (clientes, accionistas, empleados y
proveedores), la reputación, la marca y las actividades de creación de valor.
● Trabajar de forma conjunta con nuestros suministradores y subcontratistas con el fin de mejorar
la prestación de servicios de TI, la continuidad de los servicios y la seguridad de la información,
que repercutan en una mayor eficiencia de nuestra actividad.
● Evaluar y garantizar la competencia técnica del personal, así como asegurar la motivación
adecuada de éste para su participación en la mejora continua de nuestros procesos,
proporcionando la formación y la comunicación interna adecuada para que desarrollen buenas
prácticas definidas en el sistema.
● Garantizar el correcto estado de las instalaciones y el equipamiento adecuado, de forma tal que
estén en correspondencia con la actividad, objetivos y metas de la empresa.
● Garantizar un análisis de manera continua de todos los procesos relevantes, estableciéndose las
mejoras pertinentes en cada caso, en función de los resultados obtenidos y de los objetivos
establecidos.
● Estructurar nuestro sistema de gestión de forma que sea fácil de comprender. Nuestro sistema
de gestión tiene la siguiente estructura:
La gestión de nuestro sistema se encomienda al responsable de Sistemas Informáticos y el sistema
estará disponible en nuestro sistema de información en un repositorio, al cual se puede acceder según
los perfiles de acceso concedidos según nuestro procedimiento en vigor de gestión de los accesos.
2. PRINCIPIOS BÁSICOS ENS
La política de seguridad de COMPUTER GLOBAL SOFTWARE, S.L. se establecerá de acuerdo con los
principios básicos señalados en el capítulo II y se desarrollará aplicando los siguientes requisitos
mínimos:
a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
h) Mínimo privilegio
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de la actividad y detección de código dañino.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
ñ) Mejora continua del proceso de seguridad.
3. ORGANIZACIÓN DE SEGURIDAD
La responsabilidad esencial recae sobre la Dirección General de la organización, ya que esta es
responsable de organizar las funciones y responsabilidades y de facilitar los recursos adecuados para
conseguir los objetivos del ENS e ISO27001. Los directivos son también responsables de dar buen
ejemplo siguiendo las normas de seguridad establecidas.
Estos principios son asumidos por la Dirección, quien dispone los medios necesarios y dota a sus
empleados de los recursos suficientes para su cumplimiento, plasmándolos y poniéndolos en público
conocimiento a través de la presente Política Integrada de Sistemas de Gestión.
Los roles o funciones de seguridad definidos son:
Función Deberes y responsabilidades
Responsable de la información
Rubén Montero RINF – Tomar las decisiones relativas a la información tratada
Responsable de los servicios – Coordinar la implantación del sistema
Rubén Montero RSER – Mejorar el sistema de forma continua
Responsable de la seguridad
Rubén Montero RSEG – Determinar la idoneidad de las medidas técnicas
– Proporcionar la mejor tecnología para el servicio
Responsable de sistemas
Luis Lozano RSIS – Coordinar la implantación técnica del sistema
– Mejorar el sistema de forma continua
Dirección
Rubén Montero DIR – Proporcionar los recursos necesarios para el sistema
– Liderar el sistema
Responsable del sistema de gestión
José María Cabezas RSG – Coordinar la implantación del sistema de gestión ENS
Esta definición se completa en los perfiles de puesto y en los documentos del sistema.
El procedimiento para su designación y renovación será la ratificación en el comité de seguridad
El comité para la gestión y coordinación de la seguridad es el órgano con mayor responsabilidad dentro
del sistema de gestión de seguridad de la información, de forma que todas las decisiones más
importantes relacionadas con la seguridad se acuerdan por este comité. Los miembros del comité de
seguridad de la información son:
– Responsables del Sistema de Gestión de Seguridad de la Información
– Dirección Empresa (socios-administradores)
Funciones y responsabilidades del comité de seguridad.
Las funciones y responsabilidades del comité de seguridad se definen en el “Acta de constitución del
comité de seguridad”
Periodo de renovación del comité de seguridad.
Los miembros del comité de seguridad serán ratificados o sustituidos de forma anual, en la reunión del
propio comité.
Estos miembros son designados por el comité, único órgano que puede nombrarlos, renovarlos y
cesarlos.
El comité de seguridad es un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones y
que no tiene que subordinar su actividad a ningún otro elemento de nuestra empresa.
4. GESTIÓN DE RIESGOS
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas
y los riesgos a los que están expuestos. Este análisis se revisa regularmente:
● al menos una vez al año;
● cuando cambie la información manejada;
● cuando cambien los servicios prestados;
● cuando ocurra un incidente grave de seguridad;
● cuando se reporten vulnerabilidades graves.
Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de
referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El
Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de
seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
Para la realización del análisis de riesgos se tendrán en cuenta la metodología de análisis de riesgos
desarrollada en el procedimiento Op.pl.1 Análisis de Riesgos
5. GESTIÓN DEL PERSONAL
Todos los miembros de COMPUTER GLOBAL SOFTWARE, S.L. tienen la obligación de conocer y cumplir
esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del
Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de COMPUTER GLOBAL SOFTWARE, S.L. atenderán a una sesión de concienciación
en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación
continua para atender a todos los miembros de la COMPUTER GLOBAL SOFTWARE, S.L., en particular a
los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas recibirán formación
para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La
formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se
trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
6. PROFESIONALIDAD Y SEGURIDAD DE LOS RECURSOS HUMANOS
Los objetivos de controlar la seguridad del personal son:
▪ Reducir los riesgos de error humano, puesta en marcha de irregularidades, uso indebido de
instalaciones y recursos, y manejo no autorizado de la información.
▪ Explicar las responsabilidades de seguridad en la etapa de reclutamiento del personal e incluirlas
en los acuerdos a firmar y verificar su cumplimiento durante el desempeño de las tareas del
empleado.
▪ Asegúrese de que los usuarios estén al tanto de las amenazas y preocupaciones de seguridad de la
información y estén capacitados para apoyar la Política de Seguridad de la Información de la
organización en el curso de sus tareas normales.
▪ Establecer compromisos de confidencialidad con todo el personal y usuarios fuera de las
instalaciones de procesamiento de información.
▪ Establecer las herramientas y mecanismos necesarios para promover la comunicación de las
debilidades de seguridad existentes, así como los incidentes, con el fin de minimizar sus efectos y
prevenir su reincidencia.
PROFESIONALIDAD
▪ Determinar la competencia necesaria del personal para llevar a cabo el trabajo que afecta a la
Seguridad de la Información
▪ Asegurar que las personas sean competentes sobre la base de la educación, capacitación o
experiencia adecuadas
▪ Demostrar mediante la información documentada que sea necesaria la competencia del
personal en materia de Seguridad de la Información
Esta Política se aplica a todo el personal de COMPUTER GLOBAL SOFTWARE, S.L. y el personal externo
que realiza tareas dentro de la empresa.
RRHH incluirá funciones de seguridad de la información en las descripciones de los trabajos de los
empleados, informará a todo el personal que contrate sus obligaciones con respecto al cumplimiento de
la Política de Seguridad de la Información, gestionará los Compromisos de Confidencialidad con el
personal y coordinará las tareas de capacitación de los usuarios con respecto a esta Política.
El Responsable del Sistema de Gestión de Seguridad de la Información (RSEG) , es responsable de
monitorear, documentar y analizar los incidentes de seguridad reportados, así como de comunicarlos al
Comité de Seguridad de la Información y a los propietarios de información.
El Comité de Seguridad de la Información será responsable de implementar los medios y canales
necesarios para que el Responsable del Sistema de Gestión de Seguridad de la Información (RSEG)
maneje informes de incidentes y anomalías del sistema. El Comité también estará al tanto, supervisará la
investigación, supervisará la evolución de la información y promoverá la resolución de incidentes de
seguridad de la información.
El Responsable del Sistema de Gestión de Seguridad de la Información (RSEG) participará en la
preparación del Compromiso de Confidencialidad que firmará los empleados y terceros que
desempeñen funciones en COMPUTER GLOBAL SOFTWARE, S.L., en el asesoramiento sobre las
sanciones que se aplicarán por incumplimiento de esta Política y en el tratamiento de incidentes de
seguridad de la información.
Todo el personal de COMPUTER GLOBAL SOFTWARE, S.L. es responsable de informar sobre las
debilidades e incidentes de seguridad de la información que se detectan oportunamente.
7. AUTORIZACIÓN Y CONTROL DE ACCESO A LOS SISTEMAS DE INFORMACIÓN
El control del acceso a los sistemas de información tiene por objetivo:
▪ Evitar el acceso no autorizado a sistemas de información, bases de datos y servicios de
información.
▪ Implementar la seguridad en el acceso de los usuarios a través de técnicas de autenticación y
autorización.
▪ Controlar la seguridad en la conexión entre la red de COMPUTER GLOBAL SOFTWARE, S.L. y otras
redes públicas o privadas.
▪ Revisar los eventos críticos y las actividades llevadas a cabo por los usuarios en los sistemas.
▪ Concienciar sobre su responsabilidad por el uso de contraseñas y equipos.
▪ Garantizar la seguridad de la información cuando se utilizan ordenadores portátiles y ordenadores
personales para el trabajo remoto.
8. PROTECCIÓN DE LAS INSTALACIONES
Los objetivos de esta política son:
▪ Prevenir el acceso no autorizado, daños e interferencias a la sede, instalaciones e
información de COMPUTER GLOBAL SOFTWARE, S.L.
▪ Proteger el equipo de procesamiento de información crítico de COMPUTER GLOBAL
SOFTWARE, S.L., colocándolo en áreas protegidas y protegido por un perímetro de
seguridad definido, con las medidas de seguridad y controles de acceso adecuados.
Asimismo, contemplar la protección de esta en su traslado y permanecer fuera de las
áreas protegidas, por mantenimiento u otros motivos.
▪ Controlar los factores ambientales que podrían perjudicar el buen funcionamiento del
equipo de cómputo que alberga la información de COMPUTER GLOBAL SOFTWARE, S.L.
▪ Implementar medidas para proteger la información manejada por el personal en las
oficinas, en el marco normal de sus tareas habituales.
▪ Proporcionar protección proporcional a los riesgos identificados.
Esta Política se aplica a todos los recursos físicos relacionados con los sistemas de información de
COMPUTER GLOBAL SOFTWARE, S.L.: instalaciones, equipos, cableado, expedientes, medios de
almacenamiento, etc.
El Responsable del Sistema de Gestión de Seguridad de la Información (RSEG), junto con los Titulares de
la Información, según proceda, definirá las medidas de seguridad física y ambiental para la protección de
los activos críticos, sobre la base de un análisis de riesgos, y supervisará su aplicación. También verificará
el cumplimiento de las disposiciones de seguridad física y medioambiental.
Los responsables de los diferentes departamentos definirán los niveles de acceso físico del personal de
COMPUTER GLOBAL SOFTWARE, S.L. a las áreas restringidas bajo su responsabilidad. Los Propietarios de
Información autorizará formalmente el trabajo fuera del sitio con información sobre su negocio a los
empleados de COMPUTER GLOBAL SOFTWARE, S.L. cuando lo consideren apropiado.
Todo el personal de COMPUTER GLOBAL SOFTWARE, S.L. es responsable del cumplimiento de la política
de pantalla limpia y escritorio, para la protección de la información relacionada con el trabajo diario en
las oficinas.
9. ADQUISICIÓN DE PRODUCTOS
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada
etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las
decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las
necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de
ofertas, y en pliegos de licitación para proyectos de TIC.
Por otro lado, se tendrá en cuenta en la seguridad de la información en la adquisición y mantenimiento
de los sistemas de información, limitando y gestionando el cambio.
La política de desarrollo y adquisición de sistemas de información se desarrolla en el documento:
Op.pl.3.1 Adquisición de nuevos componentes.
10. SEGURIDAD POR DEFECTO
COMPUTER GLOBAL SOFTWARE, S.L. considera estratégico para la entidad que los procesos integren la
seguridad de la información como parte de su ciclo de vida. Los sistemas de información y los servicios
deben incluir la seguridad por defecto desde su creación hasta su retirada, incluyéndose la seguridad en
las decisiones de desarrollo y/o adquisición y en todas las actividades en explotación estableciéndose la
seguridad como un proceso integral y transversal.
11. INTEGRIDAD Y ACTUALIZACIÓN DEL SISTEMA
COMPUTER GLOBAL SOFTWARE, S.L. se compromete a garantizar la integridad del sistema mediante un
proceso de gestión de cambios que permita el control de la actualización de los elementos físicos o
lógicos mediante la autorización previa a su instalación en el sistema. Dicha evaluación será llevada a
cabo principalmente por la dirección de sistemas TIC que evaluará el impacto en la seguridad del
sistema antes de realizar los cambios y controlará de forma documentada aquellos cambios que se
evalúen como importantes o con implicaciones en la seguridad de los sistemas.
Mediante revisiones periódicas de seguridad se evaluará el estado de seguridad de los sistemas, con
relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les
afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de estos.
12. PROTECCIÓN DE LA INFORMACIÓN ALMACENADA Y EN TRÁNSITO
COMPUTER GLOBAL SOFTWARE, S.L. establece medidas de protección para la Seguridad de la
Información almacenada o en tránsito a través de entornos inseguros. Tendrán la consideración de
entornos inseguros los equipos portátiles, asistentes personales (tablets), teléfonos móviles,
dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado
débil.
13. PREVENCIÓN DE SISTEMAS DE INFORMACIÓN INTERCONECTADOS
COMPUTER GLOBAL SOFTWARE, S.L. establece medidas de protección para la Seguridad de la
Información especialmente para proteger el perímetro, en particular, si se conecta a redes públicas,
especialmente si se utilizan en su totalidad o principalmente, para la prestación de servicios de
comunicaciones electrónicas disponibles para el público.
En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con
otros sistemas, y se controlará su punto de unión electrónicas disponibles para el público.
14. REGISTROS DE ACTIVIDAD
COMPUTER GLOBAL SOFTWARE, S.L. registrará las actividades de los usuarios, reteniendo la información
necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas,
permitiendo identificar en cada momento a la persona que actúa.
Los objetivos principales de la Gestión de incidentes son los de:
▪ Establecer un sistema de detección y reacción frente a código dañino
▪ Disponer de procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en
los elementos del sistema de información. Estos procedimientos cubrirán los mecanismos de
detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como los
cauces de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se
empleará para la mejora continua de la seguridad del sistema.
▪ Garantizar que los servicios de IT vuelvan a tener un desempeño óptimo.
▪ Reducir los posibles riesgos e impactos que pueda causar el incidente.
▪ Velar por la integridad de los sistemas en el caso de un incidente de seguridad.
▪ Comunicar el impacto de un incidente tan pronto como se detecte para activar la alarma; y poner
en práctica un plan de comunicación empresarial adecuado.
▪ Promover la eficiencia empresarial.
15. CONTINUIDAD DE LA ACTIVIDAD
COMPUTER GLOBAL SOFTWARE, S.L. con el objetivo de garantizar la continuidad de las actividades
establece medidas para que los sistemas dispongan de copias de seguridad y establece mecanismos
necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios
habituales de trabajo.
16. MEJORA CONTINUA DEL PROCESO DE SEGURIDAD
COMPUTER GLOBAL SOFTWARE, S.L. establece un proceso de mejora continua de la seguridad de la
información aplicando los criterios y metodología establecida en normas internacionales como ISO
27001.
17. INFORMACIÓN DOCUMENTADA Y CALIFICACIÓN DE LA INFORMACIÓN
Las directrices específicas de gestión de la documentación, incluyendo la estructuración de la
documentación de seguridad del sistema, su gestión y acceso, así como la política de calificación de la
información se definen en el Mp.info.2 Información documentada.
18. GESTIÓN DE LOS RIESGOS PERSONALES (RGPD)
COMPUTER GLOBAL SOFTWARE, S.L. se compromete firmemente con el cumplimiento normativo,
integrando la gestión de riesgos personales como un pilar fundamental en su política de seguridad. En
línea con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de
protección de datos, RGPD), así como con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales (LOPDGDD). La empresa implementa medidas
proactivas para identificar, evaluar y mitigar riesgos que puedan afectar tanto a sus empleados como a
sus operaciones, garantizando un entorno de trabajo seguro y protegido. Esta estrategia no solo asegura
la integridad física y emocional del personal, sino que también fortalece la resiliencia y la sostenibilidad
de sus procesos empresariales.
