Política de Seguridad de la Información
1.Introducción
Este documento recoge la Política General de Seguridad de la Información de las sociedades que componen el Grupo GVC GAESCO (GVC Gaesco Holding, GVC Gaesco Valores, GVC Gaesco Gestión, GVC Gaesco Pensiones y GVC Gaesco Correduría), en adelante GVC GAESCO, entendida como los principios básicos de actuación y ordenación de la organización en materia de Seguridad de la Información. Se entenderá la Seguridad, como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información, quedando excluidas cualquier tipo de actuación puntual o de tratamiento coyuntural.
El resto de los documentos relacionados con la Seguridad de la Información del Grupo GVC GAESCO estarán alineados con las directrices contenidas en esta Política General de Seguridad de la Información.
La progresiva transformación digital de nuestra sociedad, el impacto en sectores estratégicos, como el sector financiero, el nuevo escenario de la ciberseguridad y el avance de las tecnologías de aplicación producen notables cambios a nivel internacional. Asimismo, se ha evidenciado que los sistemas de información están expuestos de forma cada vez más intensa a la materialización de amenazas del ciberespacio, advirtiéndose un notable incremento de los ciberataques, tanto en volumen y frecuencia como en sofisticación, con agentes y actores con mayores capacidades técnicas y operativas; amenazas que se producen en un contexto de alta dependencia de las tecnologías de la información y de las comunicaciones en nuestra sociedad y de gran interconexión de los sistemas de información.
2. Objetivo
El objetivo de la presente Política General de Seguridad de la Información es establecer un marco normativo común al Grupo GVC GAESCO que permita identificar, desarrollar e implantar las medidas técnicas y organizativas necesarias para garantizar la seguridad y protección de la información, privacidad de las personas incluida, así como de los sistemas de información que dan soporte a la actividad del Grupo GVC GAESCO.
3. Difusión
El presente documento será publicado en la intranet del Grupo GVC GAESCO y comunicado a todos los sujetos interesados, en especial al personal interno que maneje los activos de información del Grupo GVC GAESCO.
Así mismo, se realizará una publicación de este documento en el sitio web del Grupo GVC GAESCO para poder compartirlo con las partes interesadas externas de la organización.
4. Compromiso de la Dirección
La información, en especial los datos personales de los empleados, clientes y proveedores, así como los sistemas que la soportan, constituyen activos estratégicos para GVC GAESCO, que desea protegerlos frente a amenazas tales como errores, sabotajes, terrorismo, extorsiones, espionaje industrial, violaciones de intimidad, interrupciones de servicio y desastres naturales, con el fin de garantizar la consecución de forma eficiente y eficaz de los objetivos de negocio definidos.
La Dirección se compromete a liderar y fomentar a todos los niveles la seguridad, de acuerdo a la Política de Seguridad y los objetivos que en ella se definen.
5. Política
a) Ámbito
El Grupo GVC GAESCO protege los recursos involucrados en la gestión de la información relacionada con el normal desarrollo de sus funciones, dando cumplimiento a la legislación vigente, preservando la confidencialidad y privacidad de la información y asegurando la disponibilidad, integridad, y conservación. Estos objetivos se trasladan también a los sistemas de información utilizados para el desarrollo de su actividad.
Es voluntad del Grupo GVC GAESCO establecer condiciones de confianza en el uso de los medios electrónicos y la prestación continua de sus servicios, adoptando las medidas necesarias destinadas a proteger los sistemas de información de la organización de aquellas amenazas a los que se estén expuestos, con la finalidad de garantizar la seguridad de los sistemas de información, minimizar los riesgos y consolidar así las bases para prevenir, detectar, reaccionar y recuperarse de los posibles incidentes que puedan acaecer.
La presente Política General de Seguridad de la Información se aplica en todo el ámbito de actuación del Grupo GVC GAESCO, es decir:
- Todos los recursos, servicios y procesos de negocio que componen el Grupo GVC GAESCO. De esta manera se aplicará a todos los sistemas de información que intervienen en la prestación de los servicios y a todos aquellos sistemas de soporte a las diferentes funciones y responsabilidades del Grupo GVC GAESCO.
- A todos los usuarios, ya sean internos o externos vinculados, directa o indirectamente, al Grupo GVC GAESCO que hacen uso de los sistemas descritos en el punto anterior.
b) Objetivos de la Seguridad de la Información
Los objetivos que hay que lograr son:
- Garantizar, asegurar e implementar las medidas de seguridad adecuadas y necesarias sobre todos los recursos, procesos, funciones y servicios relacionados directa e indirectamente con usuarios internos y externos, y con clientes, proveedores, partnersu otros terceros, con la finalidad de asegurar la disponibilidad, confidencialidad e integridad; de la información, y la conformidad con la legislación aplicable.
- Garantizar la continuidad, seguridad y calidad de los servicios ofrecidos.
- Implementar y mantener los procesos de mejora continua para favorecer la eficiencia y eficacia de las medidas de seguridad de la información.
- Reducir al máximo las posibilidades de que se produzcan incidentes de seguridad y minimizar el impacto de estos en caso de que se produjeran.
- Disponer de los medios por los que los diferentes usuarios de los servicios y procesos del Grupo GVC GAESCO hagan buen uso de la información, sistemas de la información y recursos utilizados en el desarrollo de sus funciones, obligaciones y responsabilidades, así como los que no comprometan la seguridad de la información del Grupo GVC GAESCO.
- Alinearse con las mejores prácticas y estándares de ámbito internacional en materia de seguridad de la información y/o ciberseguridad vigentes en cada momento.
- Aplicar las medidas de seguridad adecuadas sobre la información y datos personales tratados por medios electrónicos y en soporte en papel que el Grupo GVC GAESCO gestiona en el ámbito de sus competencias. Esta información estará regulada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y, así como por la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
De acuerdo con los objetivos citados, la presente Política General de Seguridad de la Información busca la adopción de los siguientes principios de seguridad, garantizando:
- Disponibilidad: la información y sistemas de información pueden ser utilizados en los tiempos y forma requerida.
- Confidencialidad: a los datos y sistemas de información solamente se accederán por las personas debidamente autorizadas.
- Integridad: exactitud de la información y de los sistemas de información contra la alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta.
- Legalidad: la información se trata de acuerdo con el marco normativo.
- Formación: de acuerdo con el principio de seguridad integral, garantizar un adecuado nivel de concienciación y capacitación en materia de seguridad de la información a todo el personal de la organización.
- Gestión de incidentes: el análisis y gestión de los riesgos como parte esencial del proceso de seguridad de la organización, manteniendo el entorno controlado y minimizando los riesgos, de acuerdo con las medidas de prevención, detección, reacción y recuperación, y estableciendo protocolos para el intercambio de información relacionada con los incidentes.
c) Cumplimiento Normativo
La presente Política General de Seguridad de la Información y el resto de documentación asociada están alineadas con el ámbito jurídico actual de leyes, reglamentos y normativas que se apliquen al Grupo GVC GAESCO, respecto a cualquier alcance material o territorial.
Para más información, revisar el documento de Cumplimiento de requisitos legales.
d) Aplicación de los recursos
La Dirección del Grupo GVC GAESCO manifiesta su compromiso de garantizar, dentro de su ámbito de funciones y responsabilidades, la provisión de recursos necesarios para implementar y mantener los procesos relacionados con la seguridad de la información del Grupo GVC GAESCO y la mejora continua de estos. Todo ello con el fin de conseguir los objetivos estratégicos, la difusión, consolidación y cumplimiento de la presente Política General de Seguridad de la Información, así como también implementar los mecanismos de distribución y publicación adecuados con el objetivo de que esta pueda ser conocida por los diferentes usuarios a los que afecte.
e) Roles y responsabilidades
Todo usuario afectado por la presente Política tendrá la obligación de:
- Cumplir en todo momento con la Política General de Seguridad de la Información, normas, procedimientos e instrucciones de Seguridad de la Información de la Organización.
- Tener un papel activo en la ciberseguridad de cualesquiera activos que sean objeto de protección dentro del ámbito de la presente Política.
- Mantener el secreto profesional y la confidencialidad respecto de la información de la Organización.
- Informar, de acuerdo con la correspondiente normativa, de situaciones sospechosas o anómalas, incidentes de seguridad, y no conformidades o incumplimientos de seguridad de los sistemas de información y/o activos de la organización.
La responsabilidad general de la Seguridad de la Información recae en la persona a la que se le asignen las funciones del responsable del Sistema de Gestión de Seguridad de la Información (SGSI).
En cuanto al incumplimiento de la Política General de Seguridad de la Información del Grupo GVC GAESCO y el resto de los documentos relacionados con la seguridad de la información, por parte de cualquiera al que le sean de aplicación y que ponga en riesgo la seguridad de la información en cualesquiera de sus dimensiones, la Dirección del Grupo GVC GAESCO se reserva el derecho de iniciar las acciones correspondientes según los códigos y normas internas de comportamiento y el marco legal vigente.
f) Control de cumplimiento
El grado de aplicación de esta política será medido periódicamente (como mínimo, anualmente) mediante autoevaluaciones coordinadas por el responsable del SGSI y mediante auditorías internas o externas (como mínimo anuales), y siempre que se produzcan cambios sustanciales en los sistemas de información del Grupo GVC GAESCO. La aprobación de la presente política se realiza en la Revisión por la Dirección, indicado en el SGSI.
g) Normativas de Seguridad de la Información
La presente Política de Seguridad de la información será soportada y complementada por un conjunto de documentos específicos. Estos documentos son las denominadas Normativas de Seguridad de la Información y estarán basadas en las mejores prácticas de mercado y alineadas con las necesidades específicas del Grupo GVC GAESCO.
h) Clasificación de la Información
Toda información deberá ser clasificada en virtud de su importancia para la organización y debe ser tratada según dicha clasificación, acorde a lo dispuesto en el documento de Clasificación de la Información.
i) Auditoría
Los sistemas de información se someterán periódicamente a auditorías internas o externas con la finalidad de verificar el correcto funcionamiento de la seguridad implantada en ellos, determinando grados de cumplimiento y recomendando medidas correctoras.
j) Proveedores y terceras Partes
Todas las adquisiciones relevantes de bienes o servicios o que supongan un impacto en los servicios o sistemas del Grupo GVC GAESCO serán sometidos a un proceso de análisis de riesgos.
Los requisitos de seguridad de la información para la mitigación de los riesgos asociados al proveedor deben acordarse con éste y quedar documentados, y debe seguirse lo dictado por las normativas de seguridad establecidas y que complementan esta política.
k) Responsabilidades por incumplimiento
El incumplimiento de esta Política y las Normativas que derivan de ella será considerado como una falta grave, dando lugar a la aplicación de la normativa sobre Régimen Disciplinario sin perjuicio de otras responsabilidades a que hubiera lugar.
De una forma similar, cualquier miembro colaborador, subcontratado o consultor que no cumpla con esta Política estará sujeto al traslado fuera de las instalaciones del Grupo GVC GAESCO y a la terminación de la relación con la Organización.
l) Gestión de excepciones
Cualquier excepción a la presente Política de Seguridad de la Información deberá ser registrada e informada al responsable del SGSI del Grupo GVC GAESCO. Estas excepciones serán analizadas para evaluar el riesgo que podrían introducir a la sociedad y, en base a la categorización de estos riesgos, estos deberán ser asumidos por el peticionario de la excepción junto con los responsables del negocio.
m) Cambio climático
El Grupo GVC GAESCO ha realizado el análisis de los servicios prestados por la organización así como su operativa habitual para la prestación de los mismos no encontrando aspectos que puedan influir en el cambio climático del planeta más allá de los generados por los sistemas de climatización y emisiones de vehículos que prestan servicio a la organización, en ambos casos dentro de los requisitos legales establecidos.
Se han analizado los requisitos de las partes interesadas sin hallar ninguno específicamente relacionado con el cambio climático.
En base a ambos análisis se concluye la no necesidad de aplicar medidas más allá de los requisitos legales estándar establecidos.
n) Aprobación y revisión
La Política General de Seguridad de la Información es aprobada formalmente por los Órganos de Administración de las Sociedades que componen el Grupo GVC GAESCO, y quedará reflejada en las correspondientes actas, y estará vigente hasta que sea reemplazada por una nueva versión. Así mismo, se revisará anualmente y siempre que se produzcan cambios significativos que lo requieran, con el fin de adaptarla a las nuevas circunstancias, técnicas y/u organizativas, evitando que quede obsoleta.
Para estos efectos, regularmente se revisará su idoneidad, oportunidad y precisión. Las modificaciones que puedan derivarse serán propuestas por el responsable del SGSI para su validación.
o) Entrada en vigor
La Política de Seguridad de la Información entrará en vigor a partir el mismo día de su publicación en la Intranet de la empresa y distribución a todo elemento afectado por la misma
Aprobado en el Consejo de Administración de fecha 26/03/2024