Bizneo depende de los sistemas de información. Estos sistemas son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad o trazabilidad de la información tratada y de los servicios prestados.
Conscientes de la trascendencia de la seguridad de la información, y en consonancia con el camino que marca nuestra propia identidad, desde Bizneo se ha impulsado el establecimiento de un sistema de gestión de seguridad de la información (en adelante, SGSI) bajo el referencial ISO 27001 y de acuerdo a los requisitos del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante, ENS) con el fin de identificar, evaluar y minimizar los riesgos a los que se expone su información y la de sus clientes, así como garantizar el cumplimiento de los objetivos establecidos.
El objetivo de la presente Política de Seguridad es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente y supervisando la actividad diaria, así como proporcionar un marco de referencia para el establecimiento de los objetivos de seguridad que permitan a Bizneo desarrollar una cultura de empresa, una forma de trabajar y de tomar decisiones, alineada con la seguridad de la información y que el respeto a los datos personales sean una constante.
Los sistemas de información están protegidos contra amenazas de rápida evolución, cuyo daño potencial incide en la confidencialidad, integridad, disponibilidad, uso previsto (trazabilidad) y valor de la información (autenticidad) de los servicios. Para defenderse de estas amenazas, se ha definido una estrategia que se adapta a los cambios en las condiciones del entorno para garantizar la prestación continua de nuestros servicios.
Desde los diferentes departamentos de Bizneo se asegura que la seguridad es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.
Bizneo está preparado para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 12 del ENS, por ello se ha actuado en aras de potenciar distintos aspectos de la seguridad de información:
Marco Legal y Regulatorio
Bizneo llevará a cabo sus actividades de acuerdo con el marco legal y regulatorio vigente. Se compromete a cumplir con todas las leyes y regulaciones pertinentes relacionadas con la seguridad de la información, incluyendo, pero no limitándose a las indicadas en el documento “Legislación Aplicable SGSI”.
Bizneo integra el ENS y la ISO 27001 en la política de seguridad de la organización para brindar una estructura más completa y robusta para abordar los aspectos específicos de la seguridad de la información, tanto a nivel nacional como internacional. Además, la adopción de estos estándares mejora la credibilidad de la empresa, demostrando su compromiso con las mejores prácticas de seguridad.
Marco Organizativo de la Seguridad
La presente política de seguridad ha establecido de acuerdo con los principios básicos señalados en el capítulo II del Real Decreto 311/2022 y se ha desarrollado aplicando los siguientes requisitos mínimos:
Organización en materia de seguridad
Bizneo ha identificado y definido los roles y funciones de seguridad necesarios para garantizar la protección de la información. Cada rol tiene responsabilidades claramente definidas (Responsabilidades Autoridad y Competencia ENS).
Bizneo ha nombrado un Comité de Seguridad que supervisará el seguimiento y cumplimiento del SGSI. El Comité de Seguridad está formado por cargos corporativos y de responsabilidad dentro de la organización La relación de los miembros constituyentes del Comité de Seguridad queda definido en el procedimiento creado al efecto (PS00 - Manual del SGSI). Dicho comité de Seguridad tendrá las siguientes funciones y responsabilidades:
• Coordinar todas las actividades relacionadas con la seguridad de las TIC.
• Es responsable de la redacción de la Política de Seguridad.
• Es responsable de la creación y aprobación de las normas que enmarcan el uso de los servicios TIC.
• Aprobará los procedimientos de actuación en lo relativo al uso de los servicios TIC.
• Aprobará los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de las TIC.
Asimismo, se han definido las funciones y responsabilidades del responsable de Seguridad, del responsable de la Información y del responsable de los Servicios, así como la relación de éstos con el Comité de Seguridad.
Con el fin de describir el proceso y jerarquía para resolver conflictos de autoridad que pueda ocurrir durante la gestión del ENS entre los perfiles críticos con responsabilidades en materia de seguridad, en Bizneo se ha definido las funciones para la resolución de conflictos ante responsables y que aplica a todos los perfiles específicos de gestión del ENS (Responsabilidades Autoridad y Competencia ENS).
El responsable de Seguridad de la Información, el responsable del Servicio, así como el responsable de la información serán nombrado por la Dirección a propuesta del Comité de Seguridad. Dichos nombramientos se revisarán cada 2 años o cuando el puesto quede vacante.
En el siguiente organigrama se marcan los puestos con funciones o responsabilidades relacionadas con la seguridad de la información. La escalación en ausencia de alguno de estos responsables se realizará según las líneas jerárquicas marcadas en este diagrama.
Análisis y gestión de riesgos
Todos los sistemas sujetos a esta Política han sido evaluados mediante un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
regularmente, al menos una vez al año
cuando cambie la información manejada
cuando cambien los servicios prestados
cuando ocurra un incidente grave de seguridad
cuando se reporten vulnerabilidades graves
Documentación y Comunicación
Esta Política de seguridad de la Información estará disponible como información documentada y se comunicará dentro de la organización. Además, se compartirá con las partes interesadas relevantes, como autoridades, operadores y usuarios de transporte público, según sea apropiado.
Revisión y Actualización
Esta política será revisada anualmente o antes si hay cambios significativos en el entorno operativo o tecnológico de Bizneo. La alta dirección se compromete a mantener esta política alineada con los objetivos de la empresa y los requisitos de seguridad de la información aplicables.
La presente Política de Seguridad de la información se hallará siempre alineada con las políticas generales de la compañía y con las que sirvan de marco a otros sistemas de gestión interna, como son las políticas de calidad.
En Madrid, a 30 de abril de 2024
Santiago Salas
CEO Bizneo