Madrid · servicio nacional e internacional info@imts.es
/

Política de Seguridad de la
Información y ENS

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y CUMPLIMIENTO ENS

1. NUESTRA VISIÓN DE LA SEGURIDAD

En Infraestructuras de Medios Técnicos y Servicios (IMTS), la seguridad de la información no es un mero requisito de cumplimiento; es la esencia de nuestra actividad empresarial. Proveemos servicios de GRC, Dirección de Seguridad (CSO Virtual), Inteligencia (OSINT), Auditoría Interna y Soporte Técnico Gestionado a organizaciones públicas y privadas que nos confían sus activos más críticos y sensibles.

Entendemos que la confianza de nuestros clientes solo puede sostenerse si demostramos, mediante nuestro ejemplo, el mismo rigor técnico y normativo que exigimos y diseñamos para ellos.

Por ello, la Dirección ha establecido e impulsado un Sistema de Gestión de Seguridad de la Información (SGSI) integrado y auditado, basado estrictamente en el estándar internacional ISO/IEC 27001 y en el Esquema Nacional de Seguridad (ENS - Real Decreto 311/2022).

2. OBJETIVO DE LA POLÍTICA

El propósito de esta Política es establecer el marco de referencia para la protección de los activos de información de IMTS y de nuestros clientes frente a todas las amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar:

  • Confidencialidad: La información (especialmente los hallazgos de auditoría, las investigaciones operativas y las arquitecturas de red de clientes) solo es accesible por el personal expresamente autorizado.
  • Integridad: La información se mantiene exacta y completa, y los sistemas operan correctamente sin manipulaciones no autorizadas.
  • Disponibilidad: La información y los servicios que sustentan la operativa de nuestros clientes están disponibles en los términos y Acuerdos de Nivel de Servicio (SLA) comprometidos.
  • Trazabilidad y Autenticidad: Toda acción realizada en los sistemas internos o de clientes queda registrada y puede ser auditada, garantizando el principio de no repudio.

3. PRINCIPIOS BÁSICOS (ALINEACIÓN CON EL ENS)

Nuestra estrategia de seguridad se rige por los principios básicos del Esquema Nacional de Seguridad:

  1. Seguridad Integral: La seguridad en IMTS es un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos. La seguridad física (control de accesos, instalaciones) y la seguridad lógica se gestionan de manera indivisible.
  2. Gestión basada en el Riesgo: Todas las medidas preventivas, detectivas y reactivas aplicadas en la organización son proporcionales al resultado de un Análisis de Riesgos formal, continuo y documentado.
  3. Prevención, Detección, Reacción y Recuperación:
  • Prevenimos las amenazas mediante el “Principio de Menor Privilegio” y el endurecimiento (hardening) de nuestros sistemas.
  • Detectamos anomalías mediante monitorización continua y auditorías.
  • Reaccionamos contundentemente ante incidentes a través de protocolos predefinidos.
  • Recuperamos la operativa mediante nuestro exigente Plan de Continuidad de Negocio (BCP).
  1. Defensa en Profundidad: Aplicamos controles en múltiples capas superpuestas, de modo que si una barrera técnica o procedimental es superada, existan controles adicionales que limiten o eviten el impacto.
  2. Reevaluación Continua: La postura de seguridad tecnológica y organizativa es revisada, auditada y mejorada de forma constante ante la evolución de las ciberamenazas y los cambios del entorno regulatorio.

4. ORGANIZACIÓN DE LA SEGURIDAD Y SEGREGACIÓN DE FUNCIONES

Para garantizar la imparcialidad y la correcta toma de decisiones, IMTS ha establecido una estructura organizativa de seguridad definida, cumpliendo el principio de diferenciación de responsabilidades exigido por el ENS:

  • Comité de Seguridad de la Información (o Dirección de Seguridad): Coordina y supervisa todas las actuaciones relativas a este ámbito.
  • Existe una clara separación entre los responsables de la operativa tecnológica (Responsable del Sistema) y aquellos que auditan y velan por el cumplimiento y la seguridad (Responsable de Seguridad y Responsable de la Información), garantizando que los análisis no estén sesgados por conflictos de interés.

5. DIMENSIÓN HUMANA: FORMACIÓN Y CONCIENCIACIÓN

En IMTS consideramos que el factor humano es nuestra primera y mejor línea de defensa. Todo el personal, tanto auditores, analistas de inteligencia, como técnicos de soporte y personal administrativo, está sujeto a estrictos acuerdos de confidencialidad y recibe capacitación continua en cibervigilancia, normativas relativas a ciberseguridad, manejo de información sensible e ingeniería social.

6. CUMPLIMIENTO LEGAL Y NORMATIVO

IMTS se compromete al cumplimiento estricto de la legislación aplicable a sus sistemas de información, prestando especial atención a:

  • La normativa nacional y europea sobre protección de datos personales: RGPD y LOPDGDD.
  • Ley 5/2014, de Seguridad Privada, fundamental para nuestros servicios de Dirección de Seguridad Externa.
  • Las normativas de seguridad relacionales que afectan a nuestro mercado de operaciones, incluyendo las resoluciones y directivas vigentes (NIS2, DORA).
  • La propiedad intelectual, los derechos de autor y la protección de los datos técnicos y secretos empresariales tanto propios como de nuestros clientes, proveedores y socios tecnológicos.

7. COMPROMISO Y LIDERAZGO DE LA DIRECCIÓN

La Dirección de IMTS revisa y aprueba formalmente esta Política de Seguridad, asumiendo la responsabilidad de dotar a la organización de los recursos técnicos, financieros y humanos necesarios para mantener un Sistema de Gestión de la Seguridad de la Información robusto, eficaz y en estado de Mejora Continua.

Asimismo, esta política es de obligado cumplimiento para todos los empleados de IMTS, contratistas, y cualquier tercero que preste servicios a favor de, o en nombre de, Infraestructuras de Medios Técnicos y Servicios. Cualquier violación de la política será objeto de un proceso de investigación que podrá derivar en sanciones disciplinarias o legales.

Esta política se encuentra accesible permanentemente al público general a través de este Sitio Web, demostrando la transparencia y el firme compromiso corporativo de IMTS hacia sus clientes y la sociedad.

Aprobado por la Dirección General de IMTS.
Última revisión: [Mes y Año]

Por qué esta versión genera un gran impacto:

  1. Es un requisito formal superado a la vista de todos: El Artículo 11 del ENS obliga a que la Política de Seguridad sea aprobada por la dirección y conocida por las partes. Al publicarla aquí, IMTS demuestra que aplica la teoría corporativa a sí mismo.
  2. Terminología exacta: El texto usa términos que un auditor del CCN-CERT o AENOR busca (“Defensa en profundidad”, “Principio de menor privilegio”, “Segregación de funciones”, “Mínimo privilegio”).

Coherencia con el catálogo: Conecta de inmediato con CSO Virtual, Soporte e Implantación de Esquemas TIC. Es decir, convence al lector de que están en buenas manos.