• INFORMACIÓN.

Adaptación y desarrollo por parte de las filiales de la Política

Esta Política de Seguridad de la información deberá ser adaptada y desarrollada por parte de cada una de las sociedades del Grupo OFG. Cada sociedad decidirá la manera en la que adapta la Política a su operativa mediante documentación concreta que siempre deberá estar alineada con las directrices que se marcan en el presente documento.

Cada una de las sociedades que conforman el Grupo OFG deberá usar la Política definida en el presente documento como requisito mínimo y adaptarla a sus condiciones y manera de trabajar, mediante diferentes tipos de documentación.

• PRINCIPIOS DE LA POLÍTICA DE LA INFORMACIÓN.

La presente Política responde a las recomendaciones de las mejores prácticas de Seguridad de la Información recogidas en el Estándar Internacional ISO/IEC 27001, así como al cumplimiento de la legislación vigente en materia de protección de datos personales y de las normativas que, en  el  ámbito  de  la  Seguridad  de  la  Información,  puedan  afectar  al  Grupo  OFG.

Además, el Grupo OFG establece los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de información:

• Alcance estratégico: La seguridad de la información deberá contar con el

compromiso y apoyo de todos los niveles directivos de las sociedades del Grupo OFG de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas para conformar un marco de trabajo completamente coherente y eficaz.

• Seguridad integral: La seguridad de la información se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural.

La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente      y        aplicándose   durante todo  el proceso de diseño, desarrollo y mantenimiento de los sistemas de información

• Gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad de la información. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables.

La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impactO y la probabilidad de los riesgos a los que están expuestos y la eficacia y el coste de las medidas de seguridad.

• Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
• Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal
• Seguridad por defecto: Los sistemas deberán diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

El Grupo OFG considera que las funciones de Seguridad de la Información deberán quedar integradas en todos los niveles jerárquicos de su personal.

Puesto que la Seguridad de la Información incumbe a todo el personal del Grupo OFG, esta Política deberá ser conocida, comprendida y asumida por todos sus empleados.

Para la consecución de los objetivos de esta Política, el Grupo OFG deberá establecer una estrategia preventiva de análisis sobre los riesgos que pudieran afectarle, identificándolos, implantando controles para su mitigación y estableciendo procedimientos regulares para su reevaluación.

3. COMPROMISO DE LA DIRECCIÓN

La Dirección del Grupo OFG, consciente de la importancia de la seguridad de la información para llevar a cabo con éxito sus objetivos de negocio, se compromete a:

• Promover en  la  organización  las  funciones  y  responsabilidades  en  el  ámbito  de

seguridad de la información.

• Facilitar los  recursos  adecuados  para  alcanzar  los  objetivos  de  seguridad  de  la

información.

• Impulsar la divulgación y la concienciación de la Política de Seguridad de la Información entre los empleados del Grupo OFG.
• Exigir el cumplimiento de la Política, de la legislación vigente y de los requisitos de los

reguladores en el ámbito de la seguridad de la información.

• Considerar los riesgos de seguridad de la información en la toma de

4. ROLES Y RESPONSABILIDADES

El Grupo OFG se compromete a velar por la Seguridad de todos los activos bajo su responsabilidad mediante las medidas que sean necesarias, siempre garantizando el cumplimiento de las distintas normativas y leyes aplicables.

4.1.  Responsable de Seguridad (CISO)

El CISO, nombrado por el Consejo de Administración, tiene la misión de liderar y coordinar todas las actividades relacionadas con la seguridad de la información en CYBERWALL S.L. Sus responsabilidades incluyen el desarrollo y la implementación de políticas y procedimientos de seguridad, la realización de análisis de riesgos, la gestión de incidentes de seguridad y la formación y concienciación del personal.

4.2.  Comité de Seguridad de la Información

El Consejo de Administracion nombrará un Comité de Seguridad que es responsable de la gestión y coordinación de la seguridad en la organización. Sus funciones incluyen la revisión periódica de la política de seguridad, la evaluación de los riesgos y la definición de medidas de mitigación y la supervisión de la implementación de controles de seguridad.

4.3.  Responsable de Cumplimiento

La figura del Responsable de Cumplimiento, nombrado por el Consejo de administración, es responsable de asegurar que todas las actividades de la organización cumplan con las normativas y regulaciones aplicables en materia de seguridad de la información y protección de datos.

5. GESTIÓN DE LA SEGURIDAD DE LOS RECURSOS HUMANOS

El departamento de Recursos Humanos deberá realizar su gestión teniendo en cuenta los criterios de seguridad establecidos en la Política de Seguridad de la Información, siendo este un punto clave para asegurar su cumplimiento.

Se deberán salvaguardar los requisitos establecidos en la presente Política en todo momento, incluyendo en la fase previa a la contratación, fase de contratación, y fase de desistimiento de contratos de los empleados.

5.1.  Formación y concienciación

El Grupo OFG deberá asegurar que todo el personal recibe un nivel de formación y concienciación adecuado en materia de Seguridad de la Información en los plazos que exija la normativa vigente, especialmente en materia de confidencialidad y prevención de fugas de información. Asimismo, los empleados deberán ser informados de las actualizaciones de las políticas y procedimientos de seguridad en los que se vean afectados y de las amenazas existentes, de manera que pueda garantizarse el cumplimiento de esta Política.

Por otro lado, los empleados tienen la obligación de obrar con diligencia con respecto a la información, debiéndose asegurar que dicha información no caiga en poder de empleados o terceros no autorizados.

• Programas de Formación
  • Todos los empleados deben recibir formación regular en seguridad de la información.
  • Los programas de formación deben incluir temas como la protección de datos, el manejo de incidentes y el uso seguro de los recursos tecnológicos.
• Campañas de Concienciación
  • La concienciación en seguridad debe ser una actividad continua dentro de la organización.
  • Se deben llevar a cabo campañas de concienciación que incluyan boletines informativos, talleres y seminarios.

5.2.  Responsable de Seguridad (CISO)

El CISO tiene la misión de liderar y coordinar todas las actividades relacionadas con la seguridad de la información en CYBERWALL S.L. Sus responsabilidades incluyen el desarrollo y la

implementación de políticas y procedimientos de seguridad, la realización de análisis de riesgos, la gestión de incidentes de seguridad y la formación y concienciación del personal.

5.3.  Comité de Seguridad de la Información

El Comité de Seguridad es responsable de la gestión y coordinación de la seguridad en la organización. Sus funciones incluyen la revisión periódica de la política de seguridad, la evaluación de los riesgos y la definición de medidas de mitigación y la supervisión de la

implementación de controles de seguridad.

5.4.  Responsable de Cumplimiento

Asegurar que todas las actividades de la organización cumplan con las normativas y regulaciones aplicables en materia de seguridad de la información y protección de datos.

5.5.  Política de mesas limpias

Se establecen los siguientes requisitos con el objetivo de mantener la seguridad en los puestos de trabajo:

• Se deberá bloquear la sesión de los equipos cuando el empleado deje el puesto, tanto por medios manuales (bloqueo por parte del usuario), como de forma automatizada mediante la configuración del bloqueo de pantalla.
• Se deberá dejar recogido el entorno de trabajo al finalizar la jornada. Esto incluye la necesidad de que todo documento o soporte de información quede fuera de la vista, guardando bajo llave los que por su clasificación sean confidenciales o secretos (véase el Anexo: Niveles de clasificación).
• Se deberá mantener ordenado el puesto de trabajo y despejado de documentos o soportes de información que puedan ser vistos o accesibles por otras personas.

6. GESTIÓN DE LA SEGURIDAD DE LOS ACTIVOS

Se deberán tener identificados e inventariados los activos de información necesarios para la prestación de los procesos de negocio del Grupo OFG. Adicionalmente, se deberá mantener actualizado el inventario de activos.

Se deberá realizar la clasificación de los activos en función del tipo de información que se vaya a tratar, de acuerdo con lo dispuesto en el apartado

6.1  Uso Correcto de Equipos y Recursos Tecnológicos

• Uso de Equipos Informáticos
  • Los equipos informáticos deben ser utilizados exclusivamente para fines laborales
  • Los usuarios deben proteger los equipos asignados manteniéndolos en buen estado y reportando cualquier daño o mal funcionamiento.
  • Está prohibido instalar software no autorizado en los equipos de la organización.

6.1.2  Uso de Dispositivos Móviles y Portátiles

• Los dispositivos móviles y portátiles proporcionados por la empresa deben utilizarse de acuerdo con las políticas de seguridad de CYBERWALL S.L.
• Los dispositivos móviles deben estar protegidos con contraseñas, PIN o mecanismos biométricos.
• Los datos sensibles almacenados en dispositivos móviles deben estar
• En caso de pérdida o robo de un dispositivo móvil, el usuario debe informar inmediatamente al departamento de TI.

Cualquier incidencia que pueda afectar a la confidencialidad, integridad o disponibilidad de estos dispositivos debe ser reportada al responsable de seguridad.

6.1.3  Normas de Uso

• Prohibida la política BYOD (Bring Your Own Device).
• El acceso a Internet y el uso del correo electrónico deben realizarse de manera profesional y para fines laborales.
• Está prohibido el acceso a sitios web inapropiados, ilegales o que no estén relacionados con las actividades laborales.
• Los usuarios deben utilizar el correo electrónico corporativo para todas las comunicaciones laborales y evitar el uso de cuentas de correo personal para fines
• Los correos electrónicos recibidos de fuentes no confiables no deben abrirse ni descargarse los archivos adjuntos.
• Los usuarios deben reportar cualquier correo electrónico sospechoso al departamento de
• Todo el software y las aplicaciones utilizadas deben estar autorizados y provistos por el departamento de TI.
• El software debe ser instalado y mantenido únicamente por el personal autorizado del departamento de TI.
• Está prohibido instalar software no autorizado en los equipos de la organización.

6.1.4. Sanciones por Incumplimiento

• Las sanciones por incumplimiento de las normas establecidas en la PUA se basan en la legislación laboral española y se detallan a continuación:

o    Faltas Leves:

• Primera Falta: Preaviso por
• Segunda Falta: Expediente
• Tercera Falta: Despido

o    Faltas Graves:

• Despido Directo: Cualquier falta grave, como la manipulación o intento de extraer información confidencial, conllevará el despido inmediato.

6.2.  Protección de la Información

• Clasificación de la Información

La información se clasifica en tres niveles:

• Público: Información que puede ser transmitida a terceros sin
• Personal: Información que contiene datos sensibles como datos personales, cuentas bancarias, DNIs, NIEs y otra información personal.
• Confidencial: Información que no puede salir de la organización bajo ningún

6.2.2  Protección de la Información Personal

CYBERWALL S.L. está comprometida con la protección de la información personal de sus empleados, clientes y otras partes interesadas conforme a la Ley Orgánica 3/2018 y el RGPD. Los datos personales deben recopilarse, procesarse y almacenarse de acuerdo con las normativas de protección de datos aplicables.

7.  Auditoría y Cumplimiento

• Auditorías Internas

• La organización debe realizar auditorías internas para evaluar el cumplimiento de las políticas y procedimientos de seguridad.
• Las auditorías internas deben llevarse a cabo al menos una vez al año.
• Los resultados de las auditorías deben ser documentados y revisados por la dirección.
• Se deben implementar acciones correctivas para abordar las deficiencias identificadas en las auditorías.

7.2.  Cumplimiento Normativo

El Grupo OFG deberá comprometerse a dotar los recursos necesarios para dar cumplimiento a toda la legislación y regulación aplicable a su actividad en materia de seguridad de la información y establecer la responsabilidad de dicho cumplimiento sobre todos sus miembros. En este sentido, se velará por el cumplimiento de toda legislación, normativa o regulación aplicable.

• CYBERWALL L. debe asegurar el cumplimiento con todas las normativas y regulaciones aplicables en materia de seguridad de la información.
• La organización debe mantenerse actualizada con los cambios en las normativas y
• Se debe realizar una evaluación de cumplimiento periódica para asegurar que las políticas y procedimientos estén alineados con las normativas vigentes.
• Los empleados deben ser informados y formados sobre las obligaciones de cumplimiento normativo.

8.  Mejora Continua

• Evaluación y Revisión de la Seguridad
• La organización debe evaluar y revisar continuamente la efectividad de sus controles y procedimientos de seguridad.
• Se deben realizar evaluaciones periódicas de la seguridad, incluyendo pruebas de penetración y análisis de vulnerabilidades.
• Los resultados de las evaluaciones deben ser utilizados para mejorar los controles y procedimientos de seguridad.
• La política de seguridad debe ser revisada y actualizada al menos una vez al año o cuando se produzcan cambios significativos en el entorno de seguridad.

8.2.  Implementación de Mejoras

• La organización debe implementar mejoras continuas en sus procesos y controles de
• Las oportunidades de mejora identificadas durante las evaluaciones y auditorías deben ser documentadas y priorizadas.
• Se debe desarrollar un plan de acción para implementar las mejoras
• La efectividad de las mejoras implementadas debe ser revisada y evaluada periódicamente.

9. GESTIÓN DE INCIDENTES DE SEGURIDAD

Todos los empleados del Grupo OFG tienen la obligación y responsabilidad de la identificación y notificación al responsable de seguridad de la sociedad de cualquier incidente o delito que pudiera comprometer la seguridad de sus activos de información. Asimismo, el Grupo OFG deberá implementar procedimientos para la correcta gestión de los incidentes detectados.

Se deberá definir un procedimiento de gestión de respuesta ante incidentes, en el que se defina un proceso de categorización de incidentes, análisis de impactos de negocio y escalado por parte de la función de seguridad de la información y ciberseguridad ante cualquier incidente relacionado con la seguridad de la información.

9.1.  Identificación y Reporte de Incidentes

• Todos los empleados deben estar capacitados para identificar y reportar incidentes de
• Los incidentes de seguridad deben ser reportados inmediatamente al departamento de

9.2.  Respuesta y Gestión de Incidentes

• La organización debe tener procedimientos claros y definidos para la gestión de incidentes de seguridad.
• El equipo de respuesta a incidentes debe ser activado de inmediato al recibir un reporte de incidente.
• Se deben seguir procedimientos establecidos para la contención, erradicación y recuperación del incidente.

El Grupo OFG deberá identificar medidas de seguridad de acuerdo con la presente Política para asegurar la correcta gestión del ciclo de vida de los activos.

10. GESTIÓN DE LAS COPIAS DE SEGURIDAD

10.1.  Realización y Verificación de Copias de Seguridad

• Realizamos copias de seguridad completas diariamente utilizando
• Las copias de seguridad se realizan mediante una programación técnica en Proxmox y se cifran mediante AES-XTS-256, validado por el CCN.
• Las copias se almacenan en dos ubicaciones:
  • Ubicación Local: Mediante copia de seguridad en una partición separada y cifrada del resto del Hipervisor Proxmox, todos los días a las 02:00 AM.
  • Ubicación Remota: Mediante copia de seguridad transmitida a una SAN de OFG, utilizando un túnel IPSec, cifrado AES256/SHA256. La partición donde se

almacena la copia también está cifrada mediante AES-XTS-256 y esta copia se realiza a las 03:00.

• Verificar mensualmente las copias de seguridad siguiendo una tarea programada en
• Las copias se restauran en Proxmox, utilizando el mismo entorno que se usa para producción, como una máquina nueva. Se verifica la estabilidad de la misma y la consistencia de sus datos, y tras eso se borra.

11. PROTECCIÓN DE LAS INSTALACIONES

11.1.  Control de Acceso Físico

• Las instalaciones de CYBERWALL L. deben estar protegidas contra accesos no autorizados mediante controles de acceso físico adecuados.
• Los empleados deben portar sus credenciales de identificación en todo momento dentro de las instalaciones.
• El acceso a áreas sensibles (como el centro de datos) debe estar restringido a personal
• Las visitas de personas externas deben ser registradas y acompañadas por un empleado autorizado durante su permanencia en las instalaciones.

11.2.  Protección contra Incendios y Riesgos Ambientales

• Las instalaciones deben estar equipadas con sistemas de detección y extinción de incendios así como con medidas para controlar otros riesgos ambientales.
• Los extintores y otros equipos de emergencia deben estar disponibles y ser mantenidos
• Los sensores de humo, temperatura y humedad deben ser instalados y monitoreados
• Los empleados deben recibir formación sobre las medidas de seguridad contra incendios y evacuación.

12. GESTIÓN DE CONTRASEÑAS

12.1.  Creación y Gestión de Contraseñas

• Las contraseñas deben tener al menos 12 caracteres e incluir una combinación de letras mayúsculas, minúsculas, números y símbolos.
• Azure AD obligará al usuario a cambiar su contraseña cada 90 días.
• Utilizar un gestor de contraseñas aprobado para almacenar y gestionar contraseñas de forma segura.
• Si el usuario pierde su contraseña, debe abrir un ticket en GLPi para su recuperación.
• Proporcionar formación regular sobre prácticas seguras de gestión de contraseñas.

13. GESTIÓN DE CAMBIOS

13.1.  Solicitud y Aprobación de Cambios

• Documentar la solicitud de cambio y su justificación en
• Revisar el impacto del cambio propuesto en la seguridad y operación de los
• Obtener la aprobación del Comité de Seguridad o del Responsable de Seguridad antes de implementar el cambio.
• Realizar el cambio de acuerdo con el plan aprobado, con seguimiento en

16. PROTECCIÓN DE LA INFORMACIÓN EN LA NUBE

16.1.  Medidas de Seguridad en la Nube

• Asegurar que los proveedores de servicios en la nube implementen medidas de seguridad adecuadas para la confidencialidad, integridad y disponibilidad de la información.
• Dependiendo del tipo de modelo de servicio en la nube, aplicar diferentes medidas de seguridad:
  • Infraestructura: Monitorizar el entorno para detectar cambios no autorizados, establecer fuertes niveles de autenticación y control de acceso, registrar y conectar las instalaciones y/o configuraciones de los elementos comunes.
  • Plataforma: Proporcionar mecanismos de seguridad correspondientes al ciclo de vida del software seguro.
• Software: Seguir las guías de seguridad de aplicaciones

17. CONTINUIDAD DE NEGOCIO

17.1.  Plan de Continuidad de Negocio

• Desarrollar y mantener un Plan de Continuidad de Negocio actualizado y probado periódicamente.
• Definir y mantener actualizado un Plan de Recuperación ante Desastres alineado con la continuidad de negocio, abarcando la continuidad del funcionamiento de las tecnologías de información y comunicación.
• Formar y capacitar a todos los empleados en materia de Continuidad del

18. AUDITORÍAS DE SEGURIDAD Y GESTIÓN DE VULNERABILIDADES

Se deberá realizar una identificación periódica de vulnerabilidades técnicas de los sistemas de información y aplicaciones empleadas en la organización, de acuerdo a su exposición a dichas vulnerabilidades y adoptando las medidas adecuadas para mitigar el riesgo asociado. Una vez identificadas las vulnerabilidades, la organización deberá aplicar las medidas correctoras necesarias tan pronto como sea posible. La identificación, gestión y corrección de las vulnerabilidades debe hacerse conforme a un enfoque basado en riesgos, teniendo en cuenta la criticidad y la exposición de los activos.

19. REVISIÓN DE LA POLÍTICA

19.1.  Actualización de la Política

• La aprobación de esta Política implica que su implantación contará con el apoyo de la Dirección para lograr todos los objetivos establecidos en la misma como también para cumplir con todos sus requisitos.
• La presente Política de Seguridad de la Información será revisada y aprobada anualmente por el Consejo de Administración.
• Si tuvieran lugar cambios relevantes en la sociedad o se identificaran cambios significativos en el entorno de amenazas y riesgos, se procederá a su revisión siempre que se considere necesario.