Política de Seguridad de la Información

Versión 01 — Fecha de entrada en vigor: 05/06/2026

1. Aprobación y entrada en vigor

Esta Política de Seguridad de la Información es efectiva desde la fecha de firma y hasta que sea reemplazada por una nueva Política.

2. Misión de la organización

GESGOCOM, siendo consciente de la importancia de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos y asumiendo su compromiso con la seguridad de la información, somete a la adecuada gestión de los mismos con el fin de ofrecer a todos sus grupos de interés las mayores garantías en torno a la seguridad de la información utilizada.

GESGOCOM es una firma tecnológica de soluciones integrales especializada en la digitalización avanzada y la optimización de procesos para el sector público y privado. Aunque su núcleo estratégico reside en la transparencia, el cumplimiento normativo y el Gobierno Abierto, la compañía actúa como un partner tecnológico versátil capaz de desarrollar software a medida y aplicativos diversos para resolver problemáticas operativas complejas. Su propuesta de valor combina el desarrollo de ecosistemas digitales con la implementación de infraestructuras físicas, facilitando una interacción real y efectiva entre las organizaciones y sus usuarios. Desde la automatización con Inteligencia Artificial hasta el despliegue de proyectos de participación ciudadana y presupuestos participativos, GESGOCOM diseña herramientas tecnológicas que promueven la integridad, la innovación y el compromiso social en entornos físicos y digitales.

Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, vigilar, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 8 del ENS (Real Decreto 311/2022, de 3 de mayo de 2022, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica).

2.1. Alcance

Esta política se aplica a todos los sistemas TIC de la entidad y a todos los miembros de la organización implicados en Servicios y Proyectos destinados al sector público que requieran la aplicación del ENS, sin excepciones.

2.2. Objetivos

La Dirección establece los siguientes objetivos de seguridad de la información:

  • Proporcionar un marco para aumentar la capacidad de resistencia o resiliencia para dar una respuesta eficaz.
  • Asegurar la recuperación rápida y eficiente de los servicios frente a cualquier desastre físico o contingencia que pudiera ocurrir y que pusiera en riesgo la continuidad de las operaciones.
  • Prevenir incidentes de seguridad de la información en la medida que sea técnica y económicamente viable, así como mitigar los riesgos de seguridad de la información generados por nuestras actividades.
  • Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

2.3. Marco normativo

El marco legal y regulatorio en el que desarrollamos nuestras actividades es:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
  • Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual, modificado por el Real Decreto-ley 2/2018, de 13 de abril.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad (Resolución de 7 de octubre de 2016) e Instrucción Técnica de Seguridad de conformidad con el ENS (Resolución de 13 de octubre de 2016).
  • Instrucción Técnica de Seguridad de Auditoría (Resolución de 27 de marzo de 2018) e Instrucción Técnica de Seguridad de Notificación de Incidentes (Resolución de 13 de abril de 2018).
  • Reglamento (UE) n.º 910/2014 (eIDAS), relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.
  • Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.
  • Ley 12/2014, de 26 de diciembre, de transparencia y de acceso a la información pública de Canarias.
  • Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, Reglamento de Inteligencia Artificial.
  • Real Decreto 1112/2018, de 7 de septiembre, sobre accesibilidad de los sitios web y aplicaciones para dispositivos móviles del sector público.
  • Instrucción 1/2006 de la AEPD sobre videovigilancia y tratamiento de imágenes.
  • Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
  • Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público.

2.4. Desarrollo

Para poder lograr estos objetivos es necesario:

  • Mejorar continuamente nuestro sistema de seguridad de la información.
  • Identificar las amenazas potenciales, así como el impacto en las operaciones de negocio que dichas amenazas, caso de materializarse, puedan causar.
  • Preservar los intereses de sus principales partes interesadas (clientes, accionistas, empleados y proveedores), la reputación, la marca y las actividades de creación de valor.
  • Trabajar de forma conjunta con nuestros suministradores y subcontratistas con el fin de mejorar la prestación de servicios de TI, la continuidad de los servicios y la seguridad de la información.
  • Evaluar y garantizar la competencia técnica del personal, así como asegurar la motivación adecuada de este para su participación en la mejora continua de nuestros procesos, proporcionando la formación y la comunicación interna adecuada para que desarrollen buenas prácticas definidas en el sistema.
  • Garantizar el correcto estado de las instalaciones y el equipamiento adecuado, de forma tal que estén en correspondencia con la actividad, objetivos y metas de GESGOCOM.
  • Garantizar un análisis de manera continua de todos los procesos relevantes, estableciéndose las mejoras pertinentes en cada caso, en función de los resultados obtenidos y de los objetivos establecidos.

La gestión de nuestro sistema se encomienda al responsable de Sistemas Informáticos y el sistema estará disponible en nuestro repositorio interno, al cual se puede acceder según los perfiles de acceso concedidos conforme al procedimiento en vigor de gestión de los accesos.

2.5. Organización de seguridad

La responsabilidad esencial recae sobre la Dirección General de la organización, ya que esta es responsable de organizar las funciones y responsabilidades y de facilitar los recursos adecuados para conseguir los objetivos del ENS.

Estos principios son asumidos por la Dirección, quien dispone los medios necesarios y dota a sus empleados de los recursos suficientes para su cumplimiento, plasmándose y poniéndolos en público conocimiento a través de la presente Política Integrada de Sistemas de Gestión.

FunciónDeberes y responsabilidades
Responsable de la informaciónTomar las decisiones relativas a la información tratada.
Responsable de los serviciosCoordinar la implantación del sistema según las responsabilidades de cada servicio. Mejorar el sistema de forma continua.
Responsable de la seguridadDeterminar la idoneidad de las medidas técnicas. Proporcionar la mejor tecnología para el servicio.
Responsable del sistemaCoordinar la implantación del sistema. Mejorar el sistema de forma continua.
DirecciónProporcionar los recursos necesarios para el sistema. Liderar el sistema.

2.6. Comité de seguridad

El comité para la gestión y coordinación de la seguridad es el órgano con mayor responsabilidad dentro del sistema de gestión de seguridad de la información, de forma que todas las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité.

El Comité de Seguridad de la Información está compuesto por los siguientes roles:

  • Responsable de Seguridad
  • Responsable del Sistema
  • Responsable del Servicio
  • Responsable de Información
  • Administrador de Seguridad
  • Dirección GESGOCOM (socios-administradores)

Las funciones y responsabilidades del comité de seguridad se definen en el Acta de nombramiento del CSI. Los miembros del comité de seguridad serán ratificados o sustituidos de forma anual, en la reunión del propio comité. El procedimiento para su designación y renovación será la ratificación en el comité de seguridad.

El comité de seguridad es un órgano autónomo, ejecutivo y con autonomía para la toma de decisiones, que no tiene que subordinar su actividad a ningún otro elemento de GESGOCOM.

2.7. Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis de riesgos, junto con el análisis de impacto (BIA), se revisa regularmente:

  • Al menos una vez al año.
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.

2.8. Gestión del personal

Todos los miembros de GESGOCOM tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de GESGOCOM atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de GESGOCOM, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación como si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

2.9. Profesionalidad y seguridad de los recursos humanos

Esta Política se aplica a todo el personal de GESGOCOM y al personal externo que realiza tareas dentro de GESGOCOM.

El área de RRHH incluirá funciones de seguridad de la información en las descripciones de los trabajos de los empleados, informará a todo el personal que contrate sobre sus obligaciones con respecto al cumplimiento de la Política de Seguridad de la Información y gestionará los Compromisos de Confidencialidad con el personal.

El responsable de Gestión de la Seguridad (RGS/CISO) es responsable de monitorear, documentar y analizar los incidentes de seguridad reportados, así como de comunicarse con el Comité de Seguridad de la Información y los propietarios de información.

Todo el personal de GESGOCOM es responsable de informar sobre las debilidades e incidentes de seguridad de la información que se detecten oportunamente.

Los objetivos de controlar la seguridad del personal son:

  • Reducir los riesgos de error humano, puesta en marcha de irregularidades, uso indebido de instalaciones y recursos, y manejo no autorizado de la información.
  • Explicar las responsabilidades de seguridad en la etapa de reclutamiento del personal e incluirlas en los acuerdos a firmar.
  • Asegurarse de que los usuarios estén al tanto de las amenazas y preocupaciones de seguridad de la información y estén capacitados para apoyar la Política de Seguridad de la Información en el curso de sus tareas normales.
  • Establecer compromisos de confidencialidad con todo el personal y usuarios fuera de las instalaciones de procesamiento de información.
  • Establecer las herramientas y mecanismos necesarios para promover la comunicación de las debilidades de seguridad existentes y los incidentes, con el fin de minimizar sus efectos y prevenir su reincidencia.

2.10. Autorización y control de acceso a los sistemas de información

El control del acceso a los sistemas de información tiene por objetivo:

  • Evitar el acceso no autorizado a sistemas de información, bases de datos y servicios de información.
  • Implementar la seguridad en el acceso de los usuarios a través de técnicas de autenticación y autorización.
  • Controlar la seguridad en la conexión entre la red de GESGOCOM y otras redes públicas o privadas.
  • Revisar los eventos críticos y las actividades llevadas a cabo por los usuarios en los sistemas.
  • Concienciar sobre su responsabilidad por el uso de contraseñas y equipos.
  • Garantizar la seguridad de la información cuando se utilizan ordenadores portátiles y ordenadores personales para el trabajo remoto.

2.11. Protección de las instalaciones

Los objetivos de esta política en materia de protección de las instalaciones son:

  • Prevenir el acceso no autorizado, daños e interferencias a la sede, instalaciones e información de GESGOCOM.
  • Proteger el equipo de procesamiento de información crítico, colocándolo en áreas protegidas con las medidas de seguridad y controles de acceso adecuados.
  • Controlar los factores ambientales que podrían perjudicar el buen funcionamiento del equipo de cómputo.
  • Implementar medidas para proteger la información manejada por el personal en las oficinas en el marco normal de sus tareas habituales.
  • Proporcionar protección proporcional a los riesgos identificados.

Esta Política se aplica a todos los recursos físicos relacionados con los sistemas de información de GESGOCOM: instalaciones, equipos, cableado, expedientes, medios de almacenamiento, etc.

2.12. Adquisición de productos

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Se tendrá en cuenta la seguridad de la información en la adquisición y mantenimiento de los sistemas de información, limitando y gestionando el cambio.

2.13. Seguridad por defecto

GESGOCOM considera estratégico que los procesos integren la seguridad de la información como parte de su ciclo de vida. Los sistemas de información y los servicios deben incluir la seguridad por defecto desde su creación hasta su retirada, incluyéndose la seguridad en las decisiones de desarrollo y/o adquisición y en todas las actividades en explotación, estableciéndose la seguridad como un proceso integral y transversal.

2.14. Integridad y actualización del sistema

GESGOCOM se compromete a garantizar la integridad del sistema mediante un proceso de gestión de cambios que permita el control de la actualización de los elementos físicos o lógicos mediante la autorización previa a su instalación en el sistema. Dicha evaluación será llevada a cabo principalmente por la dirección de sistemas, que evaluará el impacto en la seguridad antes de realizar los cambios y controlará de forma documentada aquellos cambios que se evalúen como importantes o con implicaciones en la seguridad de los sistemas.

Mediante revisiones periódicas de seguridad se evaluará el estado de seguridad de los sistemas, con relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo.

2.15. Protección de la información almacenada y en tránsito

GESGOCOM establece medidas de protección para la Seguridad de la Información, especialmente para proteger el perímetro de la información almacenada o en tránsito a través de entornos inseguros. Tendrán la consideración de entornos inseguros los equipos portátiles, asistentes personales (PDA), dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.

2.16. Prevención de sistemas de información interconectados

GESGOCOM establece medidas de protección para la Seguridad de la Información, especialmente para proteger el perímetro si se conecta a redes públicas o se utilizan principalmente para la prestación de servicios de comunicaciones electrónicas disponibles para el público. En todo caso se analizarán los riesgos derivados de la interconexión del sistema a través de redes con otros sistemas, y se controlará su punto de unión.

2.17. Registros de actividad

GESGOCOM registrará las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

Los objetivos principales de la gestión de incidentes son:

  • Establecer un sistema de detección y reacción frente a código dañino.
  • Disponer de procedimientos de gestión de incidentes de seguridad y de debilidades detectadas, cubriendo los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas y el registro de las actuaciones.
  • Garantizar que los servicios de IT vuelvan a tener un desempeño óptimo.
  • Reducir los posibles riesgos e impactos que pueda causar el incidente.
  • Velar por la integridad de los sistemas en el caso de un incidente de seguridad.
  • Comunicar el impacto de un incidente tan pronto como se detecte para activar la alarma y poner en práctica un plan de comunicación adecuado.
  • Este registro se emplea para la mejora continua de la seguridad del sistema.

2.18. Continuidad de la actividad

GESGOCOM, con el objetivo de garantizar la continuidad de las actividades, establece medidas para que los sistemas dispongan de copias de seguridad e implementa los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales de trabajo.

2.19. Mejora continua del proceso de seguridad

GESGOCOM establece un proceso de mejora continua de la seguridad de la información aplicando los criterios y metodología establecida en normas internacionales como ISO 27001.

2.20. Información documentada y calificación de la información

Las directrices específicas de gestión de la documentación, incluyendo la estructuración de la documentación de seguridad del sistema, su gestión y acceso, se establecen en el procedimiento de Creación y control de la documentación. La política de clasificación de la información se define en la Política de Clasificación de la Información.

2.21. Tratamiento de datos personales

El tratamiento de datos personales conlleva una serie de riesgos que pueden afectar a los derechos y libertades de las personas físicas. Estos riesgos pueden incluir:

  • Violación de la confidencialidad: Los datos personales pueden ser accedidos, utilizados o revelados sin autorización por parte de terceros no autorizados.
  • Pérdida de integridad: Los datos personales pueden ser modificados, corrompidos o destruidos de forma accidental o intencionada.
  • Errores en el tratamiento: Los datos personales pueden ser tratados de forma incorrecta, inexacta o incompleta.
  • Falta de transparencia: Los interesados pueden no ser informados de forma clara y transparente sobre cómo se están tratando sus datos personales.
  • Discriminación: Los datos personales pueden ser utilizados para discriminar a las personas físicas en base a factores protegidos por la ley.
  • Robo de identidad: Los datos personales pueden ser utilizados para suplantar la identidad de las personas físicas.
  • Daño reputacional: El tratamiento inadecuado de los datos personales puede dañar la reputación de las personas físicas.
  • Responsabilidad civil: Las empresas pueden ser responsables de los daños y perjuicios causados a las personas físicas como consecuencia del tratamiento inadecuado de sus datos personales.

Todo el personal de GESGOCOM está obligado al cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, conforme a los datos personales.