Reserva tu consulta

POLÍTICA DE SEGURIDAD, según el Esquema Nacional de Seguridad (ENS)

RACSO PARTNERS CONSULTING

 

1. Objetivo y fundamentos de la política: principios de seguridad.

La información debe ser protegida durante todo su ciclo de vida, desde su recepción o creación, durante su procesamiento, comunicación, transporte, difusión y hasta su eventual borrado o destrucción. Por ello se establecen los siguientes principios mínimos:

  1. Seguridad como proceso integral(art.6)

La seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información. El tratamiento de la información estará presidido por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y de los responsables jerárquicos, para evitar que la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas constituyan fuentes de riesgo para la seguridad.

  1. Gestión de la seguridad basada en los riesgos(art.7)

El análisis y la gestión de los riesgos es parte esencial del proceso de seguridad, debiendo constituir una actividad continua y permanentemente actualizada. La gestión de esos riesgos permitirá el mantenimiento de un entorno controlado, minimizando los mismos a niveles aceptables. La reducción a estos niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza de la información tratada, de los servicios a prestar y de los riesgos a los que estén expuestos.

  1. Prevención, detección, respuesta y conservación(art.8)

La seguridad del sistema debe contemplar las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la información que maneja o a los servicios que presta.

Las medidas de prevención, que podrán incorporar componentes orientados a la disuasión o a la reducción de la superficie de exposición, deben reducir la posibilidad de que las amenazas lleguen a materializarse. Las medidas de detección irán dirigidas a descubrir la presencia de un ciber incidente.

Las medidas de respuesta, que se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad. Sin merma de los restantes principios básicos y requisitos mínimos establecidos, el sistema de información garantizará la conservación de los datos e información en soporte electrónico. De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.

  1. Existencia de líneas de defensa(art.9)

El sistema de información ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las capas sea comprometida, permita:

  • Desarrollar una reacción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que el sistema sea comprometido en su conjunto.
  • Minimizar el impacto final sobre el mismo. Las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.
  1. Vigilancia continua y reevaluación periódica(art.10)

La vigilancia continua permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta. La evaluación permanente del estado de la seguridad de los activos permitirá medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración. Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.

  1. Diferenciación de responsabilidades(art.11)

En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada, el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados, el responsable del sistema, que tiene la responsabilidad sobre la prestación de los servicios y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad en los supuestos de tratamiento de datos personales, además se identificará el responsable del tratamiento y, en su caso, el encargado del tratamiento.

2. Misión de la organización.

RACSO PARTNERS CONSULTING para alcanzar sus objetivos asume su compromiso con la seguridad de la información, comprometiéndose a la adecuada gestión de esta, con el fin de ofrecer a todos sus grupos de interés las mayores garantías en torno a la seguridad de la información utilizada. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad o trazabilidad de la información tratada o de los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes. Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la información y los servicios.

Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que la organización debe aplicar las medidas mínimas de seguridad por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar un respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

La organización es consciente de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados, tanto para los servicios que desarrolla, cómo en lo que se refiere al software base adquirido de terceros. Las personas de la organización deben estar preparadas para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el artículo 8 del ENS.

3. Alcance.

Esta política es de aplicación a los usuarios internos, los sistemas de información utilizados en la prestación de servicios de tratamiento y monetización de Certificados de Ahorro Energético (CAE) y la elaboración y seguimiento de Planes ESG para las Administraciones Públicas, además de toda la información creada y gestionada en el desarrollo de las actividades para los servicios ofrecidos.

Esta Política se aplica conforme a los requisitos establecidos en el Esquema Nacional de Seguridad considerando la categorización de nivel Medio.

4. Objetivos.

Por todo lo anteriormente expuesto, la Dirección establece los siguientes objetivos de seguridad de la información:

  • Proporcionar un marco para aumentar la capacidad de resistencia o resiliencia para dar una respuesta eficaz.
  • Asegurar la recuperación rápida y eficiente de los servicios, frente a cualquier desastre físico o contingencia que pudiera ocurrir y que pusiera en riesgo la continuidad de las operaciones.
  • Prevenir incidentes de seguridad de la información en la medida que sea técnica y económicamente viable, así como mitigar los riesgos de seguridad de la información generados por nuestras actividades.
  • Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

5. Marco normativo.

Uno de los objetivos es el cumplir con los requisitos legales aplicables y con cualesquiera otros requisitos que suscriba la organización, además de los compromisos adquiridos con los clientes, así como la actualización continua de los mismos. Para ello, el marco legal y regulatorio en el que desarrollamos nuestra actividad es:

  • Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad.
  • Normativa de protección de datos personales (Reglamento (UE) 2016/679 y normativa nacional aplicable).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Real Decreto 36/2023, de 24 de enero, por el que se establece un sistema de Certificados de Ahorro Energético, y normativa complementaria.
  • Orden ministerial TED/815/2023, de 18 de julio, por la que se desarrolla parcialmente el Real Decreto 36/2023, de 24 de enero, por el que se establece un Sistema de Certificados de Ahorro Energético.

6. Estructura y desarrollo de la política de seguridad.

La estructura jerárquica de la documentación de seguridad es la siguiente:

  • Política: Define las metas y expectativas de seguridad. Describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos.
  • Normativa: Es de carácter obligatorio. Establece lo que se debe hacer y uniformiza el uso de aspectos concretos del sistema.
  • Procedimientos: Determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución.
  • Instrucciones Técnicas y Guías: Determinan las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información.
  • Registros: Evidencias resultantes de la aplicación de todo lo anterior.

7. Organización de la seguridad.

Los diferentes roles junto con sus respectivas funciones y responsabilidades están reflejados en el documento del Sistema de Gestión Integrado “Organigrama y Descripción de Puestos de Trabajo”.

8. Comité de Seguridad.

El procedimiento para su designación y renovación será la ratificación en el comité de seguridad.

El comité para la gestión y coordinación de la seguridad es el órgano con mayor responsabilidad dentro del sistema de gestión de seguridad de la información, de forma que todas las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité. Los miembros del comité de seguridad son:

  • Responsable del Servicio
  • Responsable de la Seguridad
  • Responsable del Sistema
  • Dirección empresa (en el caso de ser distintos a los anteriores)
  • Responsable del Tratamiento (cuando afecta a datos personales)

Estos miembros son designados por el comité, único órgano que puede nombrarlos, renovarlos y cesarlos. El comité de seguridad es un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones y que no tiene que subordinar su actividad a ningún otro elemento de nuestra empresa.

El Comité de seguridad, se reunirá con carácter ordinario de forma periódica, al menos 1 vez cada 6 meses, o con carácter extraordinario bajo petición expresa de alguno de los miembros o en caso de la notificación de un incidente de seguridad de la información grave.

Entre otras funciones el Comité de Seguridad deberá:

  1. Atender las inquietudes que, en materia de seguridad, se planteen desde la Dirección y de las diferentes áreas.
  2. Informar y ser informado regularmente del estado de la seguridad de la información a la Dirección.
  3. Promover la mejora continua del sistema de gestión de la seguridad de la información, con la aprobación de planes específicos.
  4. Elaborar la estrategia de evolución de la organización en lo que respecta a la seguridad de la información.
  5. Coordinar los esfuerzos para asegurar que son consistentes y alineados con la estrategia decidida en la materia.
  6. Analizar los resultados de las auditorías de la Seguridad y adoptar las medidas correctoras adecuadas.
  7. Controlar periódicamente el grado de cumplimiento de las medidas propuestas para reducir el riesgo residual y el correcto funcionamiento del procedimiento de gestión e incidentes.
  8. Elaborar (y revisar) la Política de Seguridad para su aprobación por la Dirección y aprobar la “Normativa Interna de Seguridad de la Información y Uso de recursos”.
  9. Promover la realización de auditorías periódicas que permitan verificar el cumplimiento de las obligaciones en materia de seguridad.
  10. Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
  11. Velar por que se respete el principio de seguridad en todo lo que afecte a la seguridad de la información o de los sistemas.
  12. Resolver conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y áreas.

9. Gestión de Riesgos.

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisa regularmente:

  • Al menos una vez al año.
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos relacionados con el ENC, el Comité de seguridad establecerá una valoración de referencia para los diferentes tipos de informacón manejados y los diferentes servicios prestados. El comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad.

Para la realización del análisis de riesgos se tendrá en cuenta la metodología de análisis de riesgos desarrollada en en el “Manual del Sistema de Gestión Integrado en el apartado correspondiente.

10. Gestión de Personal.

Todos los miembros de RACSO PARTNERS CONSULTING tienen la obligación de conocer y cumplir esta Política de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Todas las personas de la organización atenderán a una sesión de concienciación en materia de seguridad al menos una vez al año. Se establecerán acciones de concienciación continua para atender a todas las personas de la organización, en particular a los de nueva incorporación. Las personas con responsabilidad en el uso, operación o administración de información bajo el alcance de esta política recibirán formación para el manejo seguro de la información y los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

11. Profesionalidad y seguridad de las personas.

La seguridad de los sistemas es gestionada y revisada por el Comité de Seguridad y personal externo especializado (si se considera necesario), asegurándose de recibir y mantener la formación necesaria para garantizar la seguridad de la información en todas las etapas del ciclo de vida de los sistemas de información y los servicios ofrecidos a las Administraciones Públicas. La organización establece en todo caso los requisitos de cualificación (formación y experiencia) para asegurar la idoneidad del personal.

12. Autorización y control de acceso.

Se han definido estándares en materia de acceso a la información, redes y servicios. El control de acceso a los sistemas y la información se basa en los principios de “necesidad de conocer” y “mínimo privilegio”.

El acceso de las personas a la información está vinculada a las responsabilidades laborales y se revisa regularmente para detectar cualquier cambio y garantizar que los accesos estén alineados con las funciones asignadas a cada empleado.

13. Protección de las instalaciones.

RACSO PARTNERS CONSULTING no dispone de instalaciones propias sobre las que establecer un control de acceso físico, toda su actividad se realiza en remoto y el acceso a la información se realiza a través de una externalización de Software as a Service (SaaS Cloud).

Es por lo tanto que se externaliza este control al proveedor de este servicio confirmado que se encuentran establecidos en áreas debidamente protegidas equipadas con medidas de seguridad física, redundancia, continuidad y ambientales, al encontrarse el proveedor con el cumplimiento certificado del ENS.

14. Adquisición de productos de seguridad y contratación de servicios de seguridad.

Para la adquisición de productos, la organización tendrá en cuenta que dichos productos tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados, salvo en aquellos casos en las que las exigencias de proporcionalidad en cuatro a los riesgos asumido no lo justifiquen, a juicio del responsable de Seguridad.

Para la contratación de servicios de seguridad se estará a lo señalado en los apartados anteriores y a lo dispuesto en la cláusula de profesionalidad.

15. Mínimo privilegio.

En RACSO PARTNERS CONSULTING los sistemas se diseñan y configuran siempre pensando en la Seguridad por Defecto. El sistema proporciona la mínima funcionalidad requerida para que las funciones de operación, administración y registro de actividad sean las mínimas necesarias y se asegura que sólo son accesibles por las personas, y desde emplazamientos o equipos autorizados.

Se eliminarán o desactivarán, mediante el control de la configuración, las funciones que sean innecesarias o inadecuadas al fin que se persigue. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario. Para ello, se aplicarán guías de configuración o de seguridad para las diferentes tecnologías, adaptadas a la categoría del sistema, al efecto de eliminar o desactivar las funciones que sean innecesarias o inadecuadas.

16. Integridad y actualización del sistema.

El sistema se evaluará de manera periódica para conocer en todo momento su estado de seguridad, tomando en consideración las especificaciones de los fabricantes, las vulnerabilidades, las deficiencias de su configuración, las actualizaciones que procedan y la detección temprana de incidentes, gestionando de esta manera la integridad de los mismos. Todos los elementos del sistema requieren de autorización previa a su instalación.

17. Protección de la información almacenada y en tránsito.

La organización prohíbe el uso, almacenamiento y tránsito de información fuera de los sistemas definidos para la misma.

Dado que el trabajo se realiza directamente con herramientas en la nube y con acceso controlado a la misma, no se permite la extracción de la información del entorno seguro.

RACSO PARTNERS CONSULTING concienciará al personal de la organización al cumplimiento de esta cláusula y estará suscrita por todo el personal interno con la aceptación y compromiso de cumplimiento de la misma.

18. Prevención ante otros sistemas de información interconectados.

RACSO PARTNERS CONSULTING protege el perímetro de su sistema de información, especialmente en conexiones a internet, reforzando la prevención, detección y respuesta a incidentes de seguridad. Se analizan y controlan los riesgos de interconexión con otros sistemas para garantizar un nivel de seguridad adecuado.

Dado que todos los accesos son en remoto, estos utilizan encriptación (HTTPS), requieren autenticación de dos factores y limitan el acceso a individuos autorizados.

Para la adecuada interconexión entre sistemas se estará a lo dispuesto en la Instrucción Técnica de Seguridad correspondiente.

19. Registro de la actividad y prevención de código dañino.

El registro de la actividad y prevención de código dañino está subordinado al control que ofrece el proveedor del servicio SaaS Cloud y los registros a través de su sistema certificado ENS.

Al objeto de preservar la seguridad de los sistemas de información, garantizando la rigurosa observancia de los principios de actuación de las Administraciones Públicas, se pondrá en la medida estrictamente necesaria y proporcionada, analizar las comunicaciones entrantes o salientes, de forma que sea posible impedir el acceso no autorizado a los sistemas de información, detener los ataques de denegación de servicio, evitar la distribución malintencionada de código dañino así como otros daños a los sistemas de información. Para corregir o, en su caso, exigir responsabilidades, cada usuario que acceda al sistema de información deberá estar identificado de forma única, de modo que se sepa en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado una determinada actividad.

20. Incidentes de seguridad.

Cualquier compromiso de la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de la información se considera un incidente de seguridad.

La organización dispone (a través de SaaS Cloud) de sistemas de detección frente a incidentes de seguridad y tiene establecido un procedimiento de reacción frente a estos incidentes.

Los incidentes de seguridad son clasificados y gestionados hasta su solución recopilando las evidencias de manera que se pueda informar y aprender de los mismos para mejorar de forma continuada.

21. Continuidad de la actividad.

RACSO PARTNERS CONSULTING con el objetivo de garantizar la continuidad de las actividades, establece medidas para que los sistemas dispongan de copias de seguridad y establece mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

22. Mejora continua del proceso de seguridad.

La organización tiene establecido un procedimiento de mejora continua de la seguridad de la información aplicando los criterios y metodología establecida en el Esquema Nacional de Seguridad.

23. Terceras partes.

Cuando preste servicios a otros organismos o maneje información de otras empresas, se les hará partícipes de esta Política de Seguridad, se establecerán canales para reporte y coordinación de los respectivos Comités y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando la organización utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que es establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

24. Aprobación y entrada en vigor.

Aprobado por el Comité de Seguridad y en vigor desde el momento de su publicación.

Aprobada por la Dirección el 16 de febrero del 2026

CAE eficiencia
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.