Política de Seguridad de la Información y Continuidad de los Servicios
- Introducción
En Pulse, reconocemos que la mayoría de nuestras actividades comerciales dependen de los Sistemas de Información, los cuales son fundamentales para nuestras operaciones internas, gestión de servicios y desarrollo comercial. La información gestionada por nuestros sistemas y aplicaciones, junto con la infraestructura de comunicaciones y el personal, constituyen activos esenciales para el funcionamiento normal de nuestras actividades.
Por esta razón, Pulse ha desarrollado esta Política de Seguridad de la Información y Continuidad de los Servicios. Esta política abarca la estructura organizativa, los recursos humanos y técnicos, los procesos, planes, procedimientos y protocolos relacionados con las medidas de prevención y respuesta ante posibles incidentes disruptivos y riesgos para la seguridad de la información, tanto físicos como lógicos, cumpliendo con la normativa aplicable y las mejores prácticas de gobernanza corporativa.
Desarrollo de la Política
Este documento desarrolla la Política de Seguridad de la Información y Continuidad de los Servicios para abordar los aspectos específicos relacionados con la seguridad de la información, así como la operación y continuidad de los servicios en los procesos que lleva a cabo Pulse en diferentes ámbitos. Esta política recoge los requisitos exigidos por diversas normativas y regulaciones aplicables.
Requisitos y Objetivos
Los requisitos y objetivos de seguridad de la información y aseguramiento de nuestras operaciones comerciales son determinados por la Dirección de Pulse, basados en las políticas de la empresa y las necesidades identificadas por los responsables de los activos de información y procesos comerciales. La política cubre todas las actividades relacionadas con la seguridad física y lógica, y se aplica tanto a las actividades y servicios prestados directamente por Pulse como a aquellos gestionados por terceros bajo nuestras directrices.
Principios Fundamentales
El objetivo de esta Política es garantizar una protección adecuada de los activos de información y recursos que soportan los procesos comerciales de Pulse, preservando los siguientes principios:
- Confidencialidad: Garantizar que la información solo sea accesible para quienes estén autorizados.
- Integridad: Asegurar la exactitud y completitud de la información y de los métodos utilizados para su tratamiento.
- Disponibilidad: Asegurar que los usuarios autorizados tienen acceso a la información y activos asociados cuando lo requieran.
- Privacidad: Garantizar el tratamiento adecuado de los datos personales según la legislación vigente.
Estos principios son aplicables a cualquier forma que adopte la información, ya sea electrónica, impresa, visual o hablada, y sin importar si se trata dentro o fuera de las instalaciones de Pulse. Esta política establece el marco necesario para alcanzar la máxima eficiencia y las mejores prácticas en la coordinación de nuestras actividades y servicios.
Responsabilidades
Es responsabilidad de la Dirección de Pulse promover y apoyar la implementación de todas las medidas técnicas y organizativas necesarias para minimizar los riesgos potenciales que enfrenta la información y las actividades comerciales, contribuyendo así a la consecución de los objetivos estratégicos de la organización.
- Objeto
Esta política se aplica a todos los sistemas de información y operaciones de Pulse que respaldan los servicios y procesos en los que se fundamentan las distintas líneas de negocio de la organización. Estos sistemas y operaciones están detallados en el ámbito de actuación del Sistema de Gestión de la Seguridad y Continuidad de los Servicios y de la Información, implantado por Pulse, y descritos en el documento de Alcance y Contexto.
La política abarca todas las personas que tengan acceso a estos sistemas de información y/o presten servicios para Pulse, sin excepciones. Debe ser conocida y cumplida por todos los individuos independientemente de su puesto, cargo y responsabilidad dentro de la organización.
- Pulse: Descripción, misión, visión y valores
Pulse es una marca de Track Me Nice que ofrece servicios avanzados de consultoría y análisis de datos a través de membresías. Pulse se enfoca en brindar soluciones personalizadas y accesibles que mejoran la eficiencia operativa y la toma de decisiones estratégicas para individuos y organizaciones. Los servicios de Pulse están diseñados para satisfacer las necesidades de una amplia variedad de clientes, desde particulares hasta grandes empresas, ofreciendo una plataforma integral para la gestión de datos y consultoría.
Los clientes de Pulse tienen acceso a los servicios contratados a través de plataformas en línea y aplicaciones móviles, facilitando la integración y el uso de las herramientas ofrecidas. Estas soluciones están respaldadas por un equipo multidisciplinario de expertos en tecnología y análisis de datos, que trabajan para brindar una experiencia excepcional a los usuarios, creando relaciones de confianza y ofreciendo un soporte continuo.
Misión
La misión de Pulse es «facilitar la gestión y análisis de datos de manera eficiente y accesible, ayudando a las personas y organizaciones a tomar decisiones informadas y mejorar su rendimiento diario». La empresa se esfuerza por simplificar el acceso a tecnologías avanzadas, asegurando que sus clientes puedan aprovechar al máximo el poder de la información.
Visión
La visión de Pulse está orientada a «ser la compañía líder en soluciones de seguimiento y análisis de datos, promoviendo una cultura de gestión informada y eficiente en la sociedad». La empresa aspira a ser reconocida como un referente en el sector tecnológico, destacándose por su innovación, eficiencia y capacidad para acercar la tecnología avanzada a todos los usuarios.
Valores
Para cumplir su misión y visión, Pulse sustenta su cultura corporativa en los siguientes valores:
- Innovación constante: Los trabajadores de Pulse buscan mejorar continuamente sus procesos y servicios, perseverando en la búsqueda de soluciones creativas para los desafíos actuales.
- Compromiso total: La organización prioriza los objetivos colectivos sobre los intereses individuales, trabajando como un equipo alineado con su misión y visión, construyendo relaciones basadas en la confianza y la transparencia.
- Excelencia en el servicio: Los empleados de Pulse se esfuerzan por superar las expectativas de sus clientes, cumpliendo sus compromisos con excelencia y dedicación.
En este contexto, la seguridad de la información y la continuidad de los servicios son aspectos vitales. No sólo protegen los activos, las personas y los procesos de Pulse y sus clientes, sino que también representan un valor añadido, permitiendo ofrecer servicios innovadores y confiables que benefician tanto a los clientes como a la sociedad en general.
- Marco normativo
La identificación de las leyes, normativas y regulaciones aplicables a la actividad de Pulse para las distintas áreas de negocio y que afectan a la seguridad de la información y la continuidad de sus servicios es un requisito fundamental para alcanzar sus objetivos de negocio. Esta actividad debe desarrollarse de forma continua para recoger todos los cambios que puedan producirse y las distintas necesidades que afectan a cada área de negocio.
Identificación y Aplicación de Normativas
Pulse, consciente de esta necesidad, ha desarrollado esta Política de Seguridad de la Información y Continuidad de los Servicios, la cual incluye procedimientos adecuados para identificar y aplicar los requisitos legales, normativos, regulatorios y contractuales que puedan afectar a la gestión y operación de sus servicios. Esto incluye las áreas de seguridad de la información, actividades de protección y continuidad de las operaciones, y la comunicación de dichas obligaciones a las partes interesadas.
Tratamiento de Datos Personales
Especial relevancia tiene el tratamiento de datos de carácter personal. Todos los sistemas de información de Pulse se ajustarán a los niveles de seguridad requeridos por las leyes y regulaciones aplicables a nivel internacional, nacional, autonómico y local, según se desarrollen en las regiones de actuación de Pulse. Se sigue el principio de responsabilidad proactiva en la aplicación de las medidas técnicas y organizativas adecuadas para garantizar y demostrar que dicho tratamiento es conforme a la normativa aplicable y las exigencias de los reguladores.
Registro de Legislación Aplicable
La relación de leyes, normativas, regulaciones y otras obligaciones contractuales identificadas para cada sistema de gestión implantado relacionado con la seguridad y continuidad de los servicios se podrán consultar en el registro de legislación aplicable que se mantendrá a tal efecto.
Confidencialidad, Integridad y Disponibilidad
Pulse, en cumplimiento de la normativa vigente, asegura la confidencialidad, integridad y disponibilidad de los registros que pudieran ser requeridos por motivos legales y los protege frente a posibles pérdidas, destrucción o modificación.
Ámbito de Aplicación
Esta política se aplica a todos los sistemas de información y operaciones de Pulse que dan soporte a los servicios y procesos en los que se apoyan las distintas líneas de negocio de la organización. Se detalla en el ámbito de actuación del Sistema de Gestión de la Seguridad y Continuidad de los Servicios y de la Información, y es conocida y cumplida por todas las personas que tengan acceso a estos sistemas de información y/o presten servicios para Pulse, sin excepciones.
- Gestión del riesgo
La gestión de riesgos es un proceso continuo que se aplica a los sistemas de información y otros activos o recursos de los servicios de Pulse. Este proceso se basa en los principios de gestión de la seguridad de la información y continuidad de los servicios, fundamentado en los riesgos y su reevaluación periódica.
Responsabilidades en la Gestión de Riesgos
- Responsable de Seguridad de la Información: Junto con el Responsable de Sistemas y el Responsable del Servicio, este rol se encarga de realizar los análisis de riesgos necesarios y seleccionar las salvaguardas a implantar. Siguen las pautas de la metodología para el análisis y gestión de riesgos, descrita en el documento «Metodología de Análisis y Gestión de Riesgos de Pulse».
- Responsable de la Información y Responsable del Servicio: Estos roles son responsables de los riesgos sobre la información y el servicio, respectivamente. Son responsables de aceptar los riesgos residuales calculados en el análisis, y de realizar su seguimiento y control, con la posibilidad de delegar esta función.
Proceso de Gestión de Riesgos
El proceso de gestión de riesgos incluye las siguientes fases:
- Identificación de Activos: Determinar los activos de información y recursos críticos.
- Análisis de Amenazas: Identificar posibles amenazas que puedan afectar a los activos.
- Cálculo de Probabilidad e Impacto: Evaluar la probabilidad y el impacto de las amenazas si llegaran a materializarse.
- Selección de Medidas de Mitigación: Escoger las medidas de mitigación adecuadas y proporcionales a los riesgos identificados.
Revisión y Actualización
El proceso de gestión de riesgos se revisará de manera ordinaria una vez al año y de forma extraordinaria cuando:
- Se produzcan cambios significativos en la información o los servicios.
- Ocurran incidentes significativos.
- Sean identificadas vulnerabilidades graves.
Informe y Evaluación
El Responsable de Seguridad de la Información, en colaboración con el Responsable del Sistema y el Responsable del Servicio, llevará a cabo la revisión y presentará un informe al Responsable del Sistema de Gestión de Seguridad y Continuidad de los Servicios para su evaluación por la Dirección de Pulse.
Este enfoque garantiza que Pulse mantiene una vigilancia continua sobre los riesgos y adopta las medidas necesarias para mitigar potenciales impactos, asegurando la continuidad y seguridad de sus servicios.
- Desarrollo de la política
Esta Política establece el marco necesario para alcanzar la máxima eficiencia y las mejores prácticas que se desarrollarán mediante la normativa de seguridad de la información y continuidad de los servicios. Esto incluye abordar aspectos específicos y coordinar estas actividades y operaciones para alcanzar los siguientes objetivos:
Objetivos
- Prevenir Situaciones de Riesgo: Evitar e impedir cualquier situación que pueda interrumpir o limitar el funcionamiento continuo de Pulse. En caso de que se produzca una situación de riesgo, minimizar su impacto y restablecer la normalidad funcional lo antes posible, mejorando la resiliencia.
- Modelo Eficaz de Gestión: Desarrollar un sistema de gestión de seguridad de la información y continuidad de los servicios, basado en normas nacionales e internacionales, que opere con indicadores de desempeño y cumplimiento.
- Seguridad y Continuidad Óptima: Lograr un nivel operativo de seguridad y continuidad que sea óptimo y económicamente viable para Pulse.
Principios
Para alcanzar estos objetivos, la política se desarrollará de acuerdo con los siguientes principios:
- Confidencialidad: Los sistemas de información deben ser accesibles solo para personas autorizadas, respetando las obligaciones de secreto profesional.
- Integridad y Calidad: Mantener la integridad y calidad de los servicios y los procesos de tratamiento de la información, asegurando su exactitud y corrección.
- Disponibilidad y Continuidad: Garantizar la disponibilidad de los sistemas de información, personas y otros medios utilizados en la prestación de los servicios, con planes y medidas para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.
- Proporcionalidad en Coste: Implantar medidas de mitigación de riesgos de manera proporcional a los costes económicos y operativos.
- Prevención: Desarrollar planes específicos para prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad de la información y la continuidad de los servicios.
- Detección y Respuesta: Monitorizar continuamente la operación para detectar anomalías y responder eficazmente a incidentes de seguridad de la información.
- Mejora Continua: Revisar y mejorar continuamente el grado de cumplimiento de los objetivos de seguridad de la información y continuidad de los servicios.
- Seguridad, Ética y Gestión Eficiente: Incluir especificaciones de seguridad, ética, gestión eficiente y continuidad en todas las fases del ciclo de vida de los servicios y sistemas.
- Función Diferenciada: Diferenciar la responsabilidad de la seguridad de los sistemas de información y la continuidad de negocio de la operativa de la prestación de los servicios.
Responsabilidad y Estructura Organizativa
Es responsabilidad del Comité de Seguridad de la Información y Continuidad de los Servicios, promover y apoyar la implantación de medidas técnicas, operacionales y organizativas necesarias para minimizar los riesgos potenciales a los que se expone la información y los procesos operativos.
Pulse, consciente de la importancia de mantener y gestionar la seguridad de los Sistemas de Información y Continuidad de los Servicios, ha establecido una estructura organizativa con funciones y responsabilidades definidas en materia de gestión de la seguridad de la información y continuidad de los servicios. Esta estructura se encargará de establecer los mecanismos técnicos y organizativos necesarios para detectar, prevenir y evitar riesgos derivados de acciones humanas, como fraude, sabotaje, robos, errores, y otros, así como establecer protocolos de actuación para afrontar incidentes disruptivos.
En caso de conflictos de competencias, la máxima instancia para su resolución dentro del ámbito de la gestión de la seguridad de la información y continuidad de los servicios será la Dirección de Pulse.
La gestión de la seguridad de la información y la continuidad de negocio se basará en un cuerpo normativo de obligado cumplimiento, accesible a todo el personal de la organización, especialmente para aquellos involucrados en la administración y prestación de servicios y sistemas de información y comunicaciones que los soportan.
Esta política y estructura organizativa aseguran la protección adecuada de los activos de información y la continuidad de los servicios de Pulse, alineados con los objetivos estratégicos y tácticos del negocio.
- Obligaciones
Todo el personal de Pulse, así como terceras personas de proveedores y contratistas, tienen la obligación de conocer y cumplir esta norma de seguridad de la información y continuidad de los servicios, así como la normativa que la desarrolle. Es responsabilidad del Responsable de Seguridad de la Información y Continuidad de Servicios de Pulse disponer los medios necesarios para que la información llegue a todas las partes interesadas.
El incumplimiento manifiesto de la Política de Seguridad de la Información y Continuidad de los Servicios, o la normativa y procedimientos derivados de ésta, podrá acarrear el inicio de las medidas disciplinarias oportunas y, en su caso, las responsabilidades legales correspondientes.
El Responsable de Seguridad de la Información y Continuidad de Servicios establecerá los mecanismos y medios de reporte relacionados con la Seguridad de la Información y Continuidad de Servicios que puedan necesitar las partes interesadas, como empleados, proveedores, accionistas, propietarios o autoridades. La información se reportará con la periodicidad que considere necesaria para cada uno de los grupos de interés que solicite la información.
- Terceras partes
Cuando Pulse preste servicios a otras organizaciones o entidades se les hará partícipes de esta Política de seguridad y continuidad de los servicios, tratando de establecer canales para reporte y coordinación, para establecer los procedimientos de actuación para la reacción ante incidentes.
En el caso de que sea Pulse quien utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de seguridad de la información y continuidad de los servicios, de la normativa que la desarrolla, que atañe a los servicios contratados o la información tratada. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la normativa que le aplique, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Se establecerán procedimientos específicos de reporte y resolución de incidencias y se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información y continuidad de los servicios, al menos al mismo nivel que el establecido en esta Política.
Pulse podrá contar con empresas y organismos externos que ayuden a mejorar sus sistemas de seguridad, mediante la contratación de auditorías, asistencias técnicas o trabajos y desarrollos especializados.
- Formación y concienciación
Lograr la plena conciencia respecto a que la seguridad de la información y la continuidad de los servicios afecta a todo el personal de la Organización y a todas sus actividades, constituye un objetivo de primer orden para Pulse. Por consiguiente, la Organización propondrá y organizará, desde la dirección, sesiones formativas y de concienciación para que todo su personal y otras partes interesadas externas, tengan una sensibilidad adecuada respecto a los riesgos que amenazan la protección de la información y la continuidad de los servicios prestados.
La dirección aprobará una Política de Formación y Concienciación en el tratamiento seguro de la información y la continuidad de los servicios que implementarán las distintas áreas, con los siguientes objetivos:
- Capacitación sobre la protección de la información y de los datos de carácter personal:
- Orientada a los responsables de los datos y a los usuarios con privilegios sobre los mismos.
- Capacitación sobre la política, normas y procedimientos de seguridad implantados y los riesgos existentes:
- Abarcando los relacionados con el aseguramiento de los procesos y operaciones.
- Capacitación en la identificación de incidentes disruptivos:
- Instrucciones sobre la comunicación de estos incidentes, protocolos de actuación y recuperación.
- Cobertura de todos aquellos aspectos que afecten a la continuidad de las operaciones y servicios.
Estas medidas asegurarán que todo el personal y los interesados externos entiendan la importancia de la seguridad de la información y la continuidad de los servicios, y estén preparados para manejar adecuadamente los riesgos y las incidencias que puedan surgir.
- Auditorías
El sistema de gestión de la seguridad de la información y continuidad de los servicios implantado en Pulse será objeto de auditorías regulares, tanto internas como externas, con el fin de verificar el cumplimiento de los requerimientos de las normas aplicables y de los esquemas de certificación que sean de aplicación. Estas auditorías se realizarán de acuerdo con el documento normativo correspondiente que establezca los detalles de los procedimientos.
Auditorías Ordinarias
Las auditorías ordinarias se llevarán a cabo de manera regular para asegurar que se cumplen los requisitos de las normas y esquemas de certificación aplicables. Estas auditorías ayudarán a identificar áreas de mejora y a verificar la eficacia del sistema de gestión de la seguridad de la información y la continuidad de los servicios.
Auditorías Extraordinarias
Además, se realizarán auditorías extraordinarias siempre que se produzcan modificaciones sustanciales en los sistemas de información o en las operaciones que sustenten los servicios. Estas auditorías evaluarán el impacto de dichos cambios en las medidas de seguridad requeridas, en los protocolos de actuación y en el aseguramiento de las operaciones.
Informes de Auditoría
Los informes de auditoría serán evaluados por el responsable del sistema de gestión de seguridad de la información y continuidad de servicios, quien los presentará a la Dirección para su revisión. Estos informes servirán como medida del desempeño del sistema de gestión y serán la base para su mejora continua.
Gestión de No Conformidades
El responsable del sistema de gestión deberá gestionar las No Conformidades, Observaciones y Oportunidades de mejora detectadas durante las auditorías. Se establecerán las correspondientes acciones correctivas para abordar estas cuestiones.
Ciclo de Mejora Continua
El sistema de gestión se enmarca en el ciclo de Deming (PDCA), que implica la planificación de actividades, su implementación y operación, revisión y posterior mejora, todo aplicado a la seguridad de la información y la continuidad de los servicios.
De esta manera, Pulse garantiza la efectividad y la mejora continua del sistema de gestión de la seguridad de la información y continuidad de los servicios, asegurando que los procesos y operaciones cumplen con los estándares de seguridad y resiliencia necesarios para proteger los activos de información y mantener la continuidad operativa.
- Aprobación y revisión de la política
- Responsabilidades
Será misión del equipo de gestión de seguridad de la información revisar anualmente esta Política de Seguridad de la Información y Continuidad de los Servicios, proponiendo su modificación o mantenimiento para su ratificación por la Dirección de Pulse. La política será luego difundida para que la conozcan todas las partes afectadas.
Responsabilidades del Equipo de Gestión de Seguridad de la Información
- Revisión Anual: Llevar a cabo una revisión anual de la política, asegurando que se mantenga actualizada con las mejores prácticas y cualquier cambio normativo o tecnológico relevante.
- Propuestas de Modificación: Evaluar y proponer modificaciones a la política según sea necesario, basándose en los hallazgos de auditorías, cambios en la legislación, o cambios en la estructura operativa o tecnológica.
- Comunicación y Difusión: Asegurar que la política actualizada sea comunicada de manera efectiva a todas las partes interesadas, incluyendo empleados, contratistas y proveedores.
- Evaluación Continua: Monitorear continuamente la implementación de la política y su efectividad en la protección de la información y la continuidad de los servicios.
- Coordinación de Auditorías: Organizar auditorías internas y externas para verificar el cumplimiento de la política y las normativas aplicables.
- Formación y Concienciación: Desarrollar e implementar programas de formación y concienciación para todo el personal y otras partes interesadas sobre la importancia de la seguridad de la información y la continuidad de los servicios.
Responsabilidades de la Dirección de Pulse
- Ratificación de la Política: Aprobar la política revisada y asegurar su implementación.
- Apoyo a la Implementación: Proporcionar los recursos necesarios para la implementación efectiva de la política.
- Promoción del Cumplimiento: Fomentar una cultura de cumplimiento y concienciación sobre la seguridad de la información y la continuidad de los servicios en toda la organización.
- Evaluación de Informes: Revisar los informes de auditoría y las propuestas de mejora presentadas por el equipo de gestión de seguridad de la información.
De esta manera, Pulse asegura que la política de seguridad de la información y continuidad de los servicios no solo esté alineada con las necesidades y objetivos de la organización, sino que también cumpla con todas las normativas y mejores prácticas vigentes.