3 pasos para mejorar tu estrategia de TDM. Descarga el informe de Gartner.
Home / Política de seguridad

Política de seguridad

Sistema de gestión y seguridad de la información

Fecha creación: 06/2010 | Revisado por: C.S.I.P

Cambios: V 1.10 – 06/02/2026 - Adaptación al marco del ENS

Sinopsis

Este documento establece el marco y los principios de seguridad de la información de icaria Technology, incluyendo prevención, detección, respuesta y recuperación ante incidentes, y las responsabilidades asociadas.

Aprobación y entrada en vigor

Texto aprobado el 06/02/2026 por CSIP.

Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

Este texto anula el anterior, que fue aprobado el 17/07/2025 por CSIP.

Objeto

icaria Technology ayuda a las empresas a tomar el control total de sus datos, transformando procesos manuales en flujos de trabajo automatizados e inteligentes. Nuestras soluciones garantizan gobernanza, seguridad y accesibilidad instantánea, impulsando la eficiencia y la fiabilidad a gran escala.

Nuestro producto estrella, icaria TDM, es una plataforma de Gestión de Datos de Prueba (TDM) diseñada para aplicaciones de misión crítica y entornos OSS/BSS. Asegura que los datos sean seguros, precisos y siempre disponibles, exactamente cuando y con la frecuencia que se necesiten.

Las principales empresas de banca, telecomunicaciones y seguros ya confían en icaria TDM para:

  • Aumentar la productividad de los equipos de prueba, reduciendo los tiempos de entrega de datos en un 50%.
  • Expandir la cobertura de pruebas automatizadas, eliminando cuellos de botella en los flujos CI/CD.
  • Permitir la prueba de los casos más complejos, detectando errores tempranamente y evitando problemas en producción.
  • Garantizar el cumplimiento de GDPR y minimizar el riesgo de filtraciones de datos.

Con compatibilidad con las principales plataformas del sector, incluyendo Oracle, SAP, Jenkins, Salesforce, IBM y Hadoop, icaria TDM se integra sin esfuerzo en diversos ecosistemas tecnológicos, proporcionando una solución fiable y preparada para el futuro en el desarrollo y pruebas de software empresarial.

Teniendo en cuenta nuestro core, la dirección de icaria Technology (netZima) es consciente que los sistemas de información, aplicaciones, infraestructuras de comunicaciones, archivos y armarios, bases de datos, etc., constituyen el activo principal de netZima, de tal manera que el daño o pérdida de los mismos inciden en la realización de sus operaciones y pueden poner en peligro la continuidad de la organización.

Por esto icaria Technology considera que los sistemas y activos TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados

Por eso entiende que establecer una política de seguridad de la información adecuada, proporciona las bases para definir y delimitar los objetivos y responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran para garantizar la seguridad de la información, cumpliendo el marco legal de aplicación y las directivas, políticas específicas y procedimientos definidos.

Estas actuaciones son seleccionadas e implantadas fundamentadas en el análisis de riesgos realizado. A raíz de dicho análisis de riesgos se seleccionan e implantan una serie de controles, siempre con el objetivo de lograr un equilibrio entre el riesgo que la dirección de la empresa considera aceptable sobre sus activos y el coste de las medidas que se pueden implantar para paliar dicho riesgo.

Además, en el propio informe de análisis y gestión de riesgos se identifican los criterios de evaluación de riesgos que se han tomado en consideración, así como el riesgo residual que asumen la Dirección.

Son los responsables de los activos de información, junto con el responsable del SGSI y de IT, quienes deben definir los requisitos de seguridad, identificando y priorizando la importancia de los distintos elementos de la actividad realizada, de modo que los procesos más importantes y/o sensibles recibirán mayor protección.

Los diferentes departamentos deben cerciorarse de que la seguridad es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Es responsabilidad del Comité de Seguridad de la Información, promover y apoyar la implantación de las medidas técnicas y organizativas necesarias para minimizar los riesgos potenciales a los que se encuentra expuesta la información en la consecución de los objetivos estratégicos del negocio.

El objeto de esta política es alcanzar una protección adecuada de la información de icaria Technology (netZima), tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar los principios de la seguridad:

  • Confidencialidad: garantizar que la información sea accesible sólo para quien esté autorizado a tener acceso a la misma.
  • Integridad: garantizar la exactitud y completitud de la información y de los métodos de su procesamiento.
  • Disponibilidad: garantizar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
  • Trazabilidad: capacidad de reconstruir y atribuir actividades y eventos relevantes
  • Autenticidad: garantía de la identidad de usuarios, sistemas y servicios.

Estos principios básicos se deben preservar y asegurar en cualquiera de las formas que adopte la información, ya sea en formato electrónico, manual, impreso, visual o hablado, e independientemente de que sea tratada en las dependencias de icaria Technology (netZima) o fuera de ellas.

Asimismo, estos principios se deberán contemplar en las siguientes áreas de seguridad:

  • Física: Comprendiendo la seguridad de las dependencias, instalaciones, sistemas hardware, soportes y cualquier activo de naturaleza física que trate o pueda tratar información.
  • Lógica: Incluyendo los aspectos de protección de aplicaciones, redes y prototipos de comunicación electrónica y sistemas informáticos.
  • Político-corporativa: Formada por los aspectos de seguridad relativos a la propia organización, a las normas internas, regulaciones y normativa legal.

Prevención

Las diferentes áreas organizativas de icaria Technology (netZima) deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los responsables de área, junto con el Responsable de Seguridad deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben ser monitorizados de forma continua para detectar anomalías en los niveles de prestación de los servicios y actuaren consecuencia.

Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

Respuesta

Las diferentes áreas organizativas de icaria Technology (netZima) deben:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otras áreas o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

Recuperación

Para garantizar la disponibilidad de los servicios críticos, las áreas organizativas de icaria Technology (netZima) deben desarrollar planes de continuidad de los sistemas y servicios como parte de su plan general de continuidad de negocio y actividades de recuperación.

Declaración de intenciones

La alta dirección de icaria Technology (netZima), con Pedro Luis Primo, como Presidente y Enrique Almohalla, como Director General es consciente de que la información es un activo que tiene un elevado valor para la Organización y requiere por tanto una protección adecuada con el objetivo de garantizar la continuidad de la actividad de la organización y para conseguir un grado óptimo de competitividad en el mercado actual.

Por ello, icaria Technology (netZima) ha decidido implantar un Sistema de Gestión de la Seguridad de la Información basado en el Esquema Nacional de Seguridad (ENS) con el objetivo de preservar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información y protegerla de un amplio grupo de amenazas. Este Sistema de Gestión está destinado a asegurar la continuidad de las líneas de negocio, minimizar los daños, maximizar el retorno de las inversiones y las oportunidades de negocio y la mejora continua.

La intención de la alta Dirección ha sido definir los procesos más adecuados para que icaria Technology (netZima) emprenda un proceso de mejora sobre la gestión de la seguridad de su información con el convencimiento que redundará en una mayor eficacia de sus procesos de producción y gestión. Por ello, cuando se detallen las aplicaciones o soluciones concretas a los puntos contenidos en el presente documento, se hará bajo dicha perspectiva, potenciando en lo posible aquellas soluciones que lleven seguridad a la información relevante de icaria Technology (netZima).

La intención final de todo el sistema definido y desarrollado es la de ofrecer el mejor servicio a nuestros clientes, mejorando nuestros procesos y respetando escrupulosamente sus derechos legalmente establecidos.

Por todo ello, la alta Dirección de icaria Technology (netZima) quiere dejar constancia expresa de su conocimiento, compromiso y aprobación de las políticas desarrolladas en este documento, de forma que todo el personal las debe conocer y asumir como una parte de sus funciones laborales.

Para que todo esto sea posible se asignarán los recursos necesarios para el buen desarrollo de lo aquí establecido, tanto en el inicio del proyecto como en su mantenimiento futuro.

Alcance del sistema de gestión de la seguridad de la información

Sistema de gestión de seguridad de la información que soporta los procesos y servicios de diseño, desarrollo, evolución, comercialización, implantación, parametrización, integración y mantenimiento de aplicaciones de software de gestión empresarial desarrollado con icaria Technology

Este sistema de la información se apoya en:

  • BBDD asociadas a usuarios en proveedor externo (Holded)
  • Página web informativa (icariatechnology.com)
  • Servidores Cloud como base para la gestión de servicios a desarrollo, pruebas e integración (Acens y Arsys)
  • Gestión y control de acceso a través de firewall compartido en sistemas Cloud y firewall para la gestión de acceso a la intranet.
  • Empleados, becarios, proveedores, socios, colaboradores y otras partes interesadas
  • BBDD asociadas a clientes y potenciales en proveedor externo (Hubspot)
  • Infraestructura técnica (servidores, switch, routers, equipos de usuario, equipos de seguridad física)

Esta política aplica a todos los sistemas y servicios de icaria Technology (netZima) y a todos los miembros de la organización. Además, se desarrolla mediante normas y procedimientos específicos. En particular, se mantiene una Declaración de Aplicabilidad ISO/IEC 27001 y una Declaración de Aplicabilidad ENS (versión 1.2 con fecha 06/02/2026), que identifican controles/medidas aplicables, su estado y evidencias.

Principios de seguridad

icaria Technology (netZima) desarrolla su actividad apoyándose en el tratamiento de diferentes tipos de datos e información. Dicho apoyo nos permite ejecutar procesos básicos propios del negocio.

Los sistemas, aplicaciones, infraestructuras de comunicaciones, ficheros, bases de datos, archivos, etc., constituyen el activo principal de netZima de tal manera que el daño o pérdida de los mismos inciden en la realización de sus operaciones y pueden poner en peligro la continuidad de la organización. Para que esto no suceda la Dirección de icaria Technology(netZima) establece como objetivos de base, punto de partida y soporte de los objetivos y principios de la seguridad de la información los siguientes puntos:

Seguridad integral

La seguridad se gestionará de forma global y coherente, integrando medidas relativas a personas, procesos, tecnología e información, y aplicándose a todos los activos, servicios y sistemas incluidos en el alcance.

Gestión basada en riesgos

Las decisiones de seguridad se fundamentarán en el análisis y tratamiento de riesgos, definiendo criterios de aceptación y priorizando la implantación de controles y salvaguardas en función del impacto y la probabilidad.

Defensa en profundidad y líneas de defensa

La protección de los activos se articulará mediante una combinación de medidas organizativas, físicas y lógicas, incorporando controles preventivos, de detección y de contención, para reducir la exposición a amenazas internas y externas.

Prevención, detección, respuesta y recuperación

Se mantendrá un ciclo completo de gestión de incidentes y contingencias, incluyendo capacidades de prevención y detección, procedimientos de respuesta, y mecanismos de recuperación y restauración del servicio, minimizando el impacto y evitando recurrencias.

Gestión y registro de incidentes y evidencias

Se dispondrá de mecanismos para el registro y tratamiento de incidentes de seguridad, incluyendo la obtención, conservación y protección de evidencias que permitan acreditar los hechos y facilitar el análisis y, en su caso, la identificación de responsables.

Reevaluación periódica y mejora continua

La seguridad se revisará de forma continua y periódica para adaptarse a cambios organizativos o tecnológicos, aparición de vulnerabilidades, incidentes ocurridos y evolución del contexto, impulsando acciones de mejora y reforzando los controles cuando sea necesario.

Proporcionalidad y eficacia

Las medidas de seguridad serán proporcionales a la categoría del sistema y al nivel de riesgo asumido. La organización verificará la eficacia de los controles mediante auditorías, revisiones y pruebas, corrigiendo desviaciones y debilidades detectadas.

Función diferenciada y segregación de funciones

Se definirán y mantendrán responsabilidades de seguridad claras, asegurando la separación de funciones y la adecuada estructura organizativa, incluyendo roles diferenciados en materia de Información, Servicio, Sistema y Seguridad, según corresponda.

Clasificación y protección de la información

La organización establecerá un esquema de clasificación de la información y los datos, determinando requisitos de protección acordes al valor y criticidad de los activos, y aplicando salvaguardas específicas para los registros relevantes.

Normativa interna: políticas, normas y procedimientos

Se mantendrá un conjunto de reglas, estándares y procedimientos aplicables a órganos de dirección, empleados, colaboradores, socios y proveedores, asegurando su conocimiento y cumplimiento. Se especificarán las consecuencias del incumplimiento en el ámbito laboral y contractual.

Cumplimiento legal y contractual

La organización observará la normativa aplicable en materia de protección de datos, propiedad intelectual e industrial, normativa laboral, servicios de la sociedad de la información, normativa penal y cualesquiera otras obligaciones legales y contractuales que afecten a la seguridad de los activos.

Concienciación y formación

Se promoverá la formación y concienciación continua de los usuarios en seguridad de la información y uso seguro de las TIC, como medida esencial para reducir riesgos y reforzar la cultura de seguridad.

Continuidad y disponibilidad del servicio

Se adoptarán medidas para reducir la indisponibilidad y asegurar la continuidad de las operaciones, mediante planes de continuidad, procedimientos de recuperación y gestión adecuada de activos, con el fin de garantizar un servicio eficiente y mantener la confianza de los clientes.

Control del tráfico y de los soportes de información

Se controlará el intercambio y transporte de información y datos a través de redes y soportes (electrónicos y físicos), minimizando el riesgo de pérdida, fuga, alteración o acceso no autorizado.

Protección del capital intelectual

Se protegerán los activos de conocimiento e información sensible de la organización para evitar su divulgación o utilización ilícita.

Control de cambios y supervisión de la seguridad

Se establecerán procesos de validación y análisis de cambios con impacto en seguridad, y mecanismos de seguimiento que permitan evaluar el funcionamiento de las medidas implantadas, incluyendo el análisis de incidencias, tendencias y efectos.

La Dirección de icaria Technology (netZima) mediante la elaboración e implantación del presente Sistema de Gestión de Seguridad de la Información adquiere los siguientes compromisos:

  • Desarrollar productos y servicios conformes con los requisitos legislativos, identificando para ello las legislaciones de aplicación a las líneas de negocio desarrolladas por la organización e incluidas en el alcance del Sistema de Gestión de la Seguridad de la Información.
  • Establecer y cumplir los requisitos contractuales con las partes interesadas.
  • Definir los requisitos de formación en seguridad y proporcionar la formación necesaria en dicha materia a las partes interesadas mediante el establecimiento de planes de formación.
  • Prevenir y detectar malware y cualquier otro software malicioso, mediante el desarrollo de políticas específicas y el establecimiento de acuerdos contractuales con organizaciones especializadas.
  • Gestionar la continuidad del negocio, desarrollando planes de continuidad conformes a metodologías de reconocido prestigio internacional.
  • Establecer las consecuencias de las violaciones de la política de seguridad, las cuales serán reflejadas en los contratos firmados con las partes interesadas, proveedores y subcontratistas.
  • Actuar en todo momento dentro de la más estricta ética profesional.

Marco normativo

En la organización se observan, respetan y cumplen las leyes, la legislación actual y demás normativa legal aplicable en materia de:

  • Propiedad intelectual
  • Propiedad industrial
  • Protección de datos
  • Prevención del blanqueo de capitales y de la financiación del terrorismo,
  • Administrativa
  • Legal
  • Contable y fiscal
  • Laboral
  • PRL
  • LOPD
  • GDPR
  • Penal
Ley/Reglamento/DirectivaBreve resumen
Real Decreto 1784/1996, de 19 de julioSe aprueba el Reglamento del Registro Mercantil
Real Decreto Legislativo 1/1996, de 12 de abrilSe aprueba el texto refundido de la Ley de Propiedad intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
Ley Orgánica 3/2018, de 5 de diciembreProtección de Datos Personales y garantía de los derechos digitales
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016Reglamento General de Protección de Datos
Real Decreto 513/2017, de 22 de mayoReglamento de Instalaciones de protección contra incendios
Real Decreto 902/2022, de 13 de octubreIgualdad retributiva entre mujeres y hombres
Real Decreto-Ley 3/2021, de 2 de febreroMedidas para la reducción de la brecha de géneros y otras materias en los ámbitos de la Seguridad Social y Económico
Real Decreto Legislativo 1/1996, de 12 de abrilTexto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia
Ley 34/2002, de 11 de julioLey de servicios de la sociedad de la información y de comercio electrónico
Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016Relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión
Ley 12/2018, de 7 de septiembreLey de seguridad de las redes y sistemas de información
Real Decreto 39/1997, de 17 de eneroReglamento de los Servicios de Prevención
Ley 54/2003, de 12 de diciembreReforma del marco normativo de la prevención de riesgos laborales
Real Decreto 773/1997, de 30 de mayoDisposiciones mínimas de seguridad y salud relativas a la utilización por los trabajadores de equipos de protección individual
Real Decreto-ley 28/2020, de 22 de septiembreReferente al trabajo a distancia
Ley 2/2023, de 20 de febreroReguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción
Ley Orgánica 3/2007, de 22 de marzoPara la igualdad efectiva de mujeres y hombres
Real Decreto 901/2020, de 13 de octubreRegula los planes de igualdad y su registro
Real Decreto 311/2022ENS vigente. Esquema Nacional de Seguridad (ENS) y requisitos mínimos de seguridad.
Guías CCN-STIC (serie 800, cuando aplique)Guías técnicas de apoyo al ENS para implementación y verificación de medidas.

Categorización del sistema

La Organización determina la categoría del sistema conforme a los criterios del ENS, en función del impacto potencial sobre la información y los servicios. La categoría vigente y su justificación se documentan en el análisis de riesgos y en la Declaración de Aplicabilidad ENS.

Categoría ENS vigente: MEDIA.
Fecha de determinación/última revisión: 20/01/2026
Criterio: valoración de impacto por dimensiones (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad).

Organización de la seguridad

Comité de seguridad: Funciones y responsabilidades

Órgano colegiado con funciones de dirección, supervisión y aprobación en materia de seguridad de la información, reportando directamente a la Dirección General sobre el estado del SGSI.

  • Aprueba y revisa esta Política y la normativa de seguridad.
  • Valida el análisis de riesgos, criterios de aceptación y planes de tratamiento.
  • Supervisa el cumplimiento de ISO/IEC 27001 y del ENS, incluyendo auditorías y planes de adecuación.
  • Revisa incidentes relevantes, lecciones aprendidas y acciones correctivas.
  • Aprueba planes de continuidad y recuperación y supervisa su prueba periódica.

El CISO / Responsable de Seguridad es quien reporta el estado de la seguridad al Comité.

Roles dentro del Comité:
Secretario del Comité: Se designa la figura del Secretario (habitualmente asumida por el Responsable de Información o quien designe el comité), encargado de convocar las reuniones, levantar Acta de las decisiones tomadas y custodiar la documentación generada en la herramienta de gestión.

El Comité se reúne con una periodicidad mínima semestral, y de forma extraordinaria ante incidentes críticos.

El organigrama para el CSIP queda de la siguiente manera:

Roles: Funciones y responsabilidades

Los roles de Responsable de la Información, Responsable del Servicio, Responsable de Seguridad y Responsable del Sistema son designados formalmente por la Dirección General.

Dichos nombramientos se realizan de manera explícita, constando en Acta de Comité de Dirección o mediante carta de nombramiento firmada, asegurando que las personas designadas conocen y aceptan sus funciones y responsabilidades. La relación actualizada de las personas que ocupan estos cargos se mantiene disponible en el Organigrama de Seguridad vigente (Acta de Registros).

En cumplimiento del Esquema Nacional de Seguridad (ENS), se definen los siguientes roles clave en materia de seguridad de la información, junto con sus funciones y responsabilidades:

Responsable de Seguridad

El responsable de la Seguridad de la Información es la figura encargada de impulsar, coordinar y supervisar las medidas necesarias para garantizar la protección de los sistemas de información y los datos manejados por la organización.

Funciones y responsabilidades:

  • Dirige la estrategia de seguridad y asegura el cumplimiento de la ISO 27001, ENS y la normativa aplicable.
  • Realiza el análisis de riesgos y mantiene la Declaración de Aplicabilidad.
  • Supervisa la eficacia de los controles y promueve mejoras.
  • Gestiona incidentes de seguridad y comunicaciones asociadas.
  • Impulsa formación y concienciación en seguridad.
  • Valida cambios relevantes para garantizar la conformidad normativa.
  • Elabora y presenta los informes sobre el estado de la seguridad al Comité/Dirección
  • Gestionar el programa de auditorías internas y el seguimiento de las acciones correctivas.

Relación con el Comité de Seguridad:
El responsable de seguridad actúa como enlace técnico y operativo entre las distintas áreas organizativas y el Comité de Seguridad, presentando informes de estado, propuestas de mejora y seguimiento de incidentes relevantes.

Responsables de Sistemas

El responsable de Sistemas es el encargado de velar por el correcto funcionamiento y la seguridad de los sistemas de información bajo su administración.

Funciones y responsabilidades:

  • Opera y mantiene el sistema aplicando las medidas de seguridad establecidas.
  • Gestiona la operación diaria: mantenimiento, monitorización y actualizaciones.
  • Implementa medidas derivadas del análisis de riesgos.
  • Controla la configuración con criterios de mínimo privilegio y endurecimiento.
  • Detecta y comunica incidencias técnicas.
  • Contribuye a la categorización del sistema.
  • Puede suspender servicios ante deficiencias graves de seguridad.

Responsable de Servicio

Responsable de los servicios prestados (internos o a clientes) y de definir los niveles de servicio, continuidad y requisitos de seguridad del servicio.

Funciones y responsabilidades:

  • Define los requisitos de seguridad del servicio.
  • Integra la seguridad en todo el ciclo de vida del servicio (diseño → retirada).
  • Establece controles operativos (cambios, continuidad, monitorización, incidentes).
  • Coordina con el Responsable de Seguridad para asegurar cumplimiento ENS.
  • Participa en auditorías y revisiones del servicio.
  • Acepta los riesgos residuales que afecten a la continuidad y disponibilidad del servicio.

Responsable de Información

Responsable de determinar los requisitos de seguridad de la información (clasificación, uso, conservación, acceso, cesiones), en coordinación con el RSI y el Responsable del Servicio.

Funciones y responsabilidades:

  • Define los requisitos de seguridad de la información.
  • Clasifica la información según confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
  • Establece necesidades de protección durante todo el ciclo de vida de la información.
  • Determina requisitos de acceso y roles autorizados.
  • Participa en la categorización del sistema.
  • Verifica que se cumplen los requisitos de seguridad establecidos.
  • Acepta los riesgos residuales que afecten a la seguridad de su información.

Procedimientos de designación

Los roles RI, RSv, RS y RSI se designan formalmente por la Dirección/CSIP. La organización mantiene un registro actualizado de nombramientos, sustituciones y delegaciones. Se revisarán, como mínimo, cada 2 años o cuando existan cambios relevantes en la estructura o en el alcance

Datos de carácter personal

icaria Technology (netZima) trata datos personales de conformidad con el Reglamento (UE) 2016/679 (GDPR). El documento maestro que recoge la información relevante incluye:

  • Un catálogo actualizado de los ficheros, bases y tratamientos de datos personales.
  • La designación de las personas responsables (encargado y/o responsable del tratamiento).
  • El consentimiento, las bases jurídicas, los plazos de conservación y los destinatarios autorizados.

Medidas de seguridad

Todos los sistemas de información de icaria Technology (netZima) cumplirán con los principios del art. 32 GDPR:

  • Se evaluarán los riesgos para derechos y libertades de las personas (p. ej. pérdida, destrucción, acceso no autorizado o alteración de datos).
  • Se implementarán medidas técnicas y organizativas apropiadas al nivel de riesgo, tomando en cuenta: estado de la técnica y costes de implementación; naturaleza, alcance, contexto y finalidad del tratamiento.

Estas medidas podrán incluir (según el contexto):

  • Pseudonimización y encriptación de datos
  • Garantías de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de sistemas
  • Capacidad de restauración rápida tras incidentes técnicos o físicos.
  • Procesos para probar y evaluar regularmente la eficacia de dichas medidas.

Se garantizará que cualquier persona autorizada para tratar datos lo haga únicamente bajo instrucciones y en cumplimiento del GDPR.

Registro y responsabilidad

Se documentan todos los tratamientos de datos personales en el Registro de Actividades de Tratamiento, conforme al art. 30 GDPR.

Se asignan responsabilidades claras:

  • El Responsable del Tratamiento, con deber de asegurar el cumplimiento del GDPR y de designar al Encargado cuando proceda.
  • El Encargado del Tratamiento, que opera bajo instrucciones documentadas y garantiza que sus colaboradores respeten las medidas de seguridad.

Se aplican políticas específicas (como “privacidad desde el diseño” y “por defecto”) en el desarrollo o adquisición de nuevos sistemas.

Concienciación y revisión

Se proporciona formación regular y obligatoria en protección de datos al personal, con especial atención al personal técnico y roles administrativos.

Se realiza una revisión anual de las medidas de seguridad, así como tras cualquier incidente grave o cambio sustancial en los tratamientos.

Si algún tratamiento comporta un riesgo elevado, se llevará a cabo una Evaluación de Impacto de Protección de Datos (DPIA), conforme al art. 35 GDPR.

Auditorías y revisión de la política

Esta Política proporciona el marco de referencia para la mejora continua del Sistema de Gestión de Seguridad de la Información y así poder establecer y revisar los objetivos del Sistema de Gestión de Seguridad de la Información. Esta política es comunicada a toda la Organización a través del gestor documental instalado en la organización y su publicación en paneles informativos, siendo revisada anualmente para su adecuación y extraordinariamente cuando concurran situaciones especiales y/o cambios sustanciales en el Sistema de Gestión de Seguridad de la Información tales como:

  • Cambios significativos en los procesos de trabajo de netZima
  • Propuestas de mejora formuladas por las auditorias efectuadas
  • Cambio en la legislación vigente referente a lo que esta norma establece
  • Cambios tecnológicos significativos

Se ejecutan auditorías internas del SGSI con periodicidad planificada y auditorías externas según requisitos de certificación. Adicionalmente, el sistema sujeto a ENS se somete a auditoría de conformidad con la periodicidad exigida por el ENS (al menos bienal) y/o cuando aplique por cambios relevantes.

Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • regularmente, al menos una vez al año
  • cuando cambie la información manejada
  • cuando cambien los servicios prestados
  • cuando ocurra un incidente grave de seguridad
  • cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC y Privacidad (CSIP) establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC y Privacidad (CSIP) dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Desarrollo de la política de seguridad de la información

La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La normativa de seguridad estará disponible en:

  • URL: Política de Seguridad
  • Tablón_SGSI
  • Impresa en el tablón localizado en la zona de Administración

Obligaciones del personal

Todos los miembros de icaria Technology (netZima) tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de icaria Technology (netZima) atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de icaria Technology (netZima), en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo

Terceras partes

Cuando icaria Technology (netZima) preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando icaria Technology (netZima) utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

Contenidos relacionados

Aviso legal (enlace).

Política de cookies (enlace).

Política de privacidad (enlace).

Financiado por
Certificados y reconocimientos
magnifiercrossmenuchevron-down