Política de Seguridad de la Información

1. Objeto y Alcance

El objeto de este documento es establecer la política que rige cómo la empresa Casmar Electrónica, S.A. gestiona y protege su información, así como los servicios que considera críticos, cumpliendo con las garantías exigidas por el Esquema Nacional de Seguridad (ENS) y la normativa vigente. Esta política se aplicará a todos los sistemas de tecnologías de la información y comunicaciones (TIC) de la organización, así como a todo el personal de la organización, sin excepciones. Abarca las redes, servidores, aplicaciones, bases de datos y cualquier otro activo de información corporativo, incluyendo a empleados, contratistas y terceros que accedan a dichos activos.

2. Referencias Normativas

Esta política se alinea con estándares internacionales y exige el cumplimiento de la legislación aplicable en materia de seguridad de la información. En particular, se consideran las siguientes referencias:

Estándares y normas:

ISO/IEC 27001: Sistemas de Gestión de Seguridad de la Información (requisitos)
ISO/IEC 27002: Código de buenas prácticas para controles de seguridad de la información
Guías CCN-STIC 801 y 805: Guías del Centro Criptológico Nacional sobre responsabilidades y políticas de seguridad (Esquema Nacional de Seguridad)
Legislación vigente:

Real Decreto 311/2022 (ENS): Reglamento del Esquema Nacional de Seguridad (de aplicación voluntaria en el sector privado como referencia de buenas prácticas)
Reglamento (UE) 2016/679 (RGPD): Reglamento General de Protección de Datos
Ley Orgánica 3/2018 (LOPDGDD): Ley de Protección de Datos Personales y Garantía de Derechos Digitales

3. Términos y Definiciones

Para efectos de esta política, se aplican las definiciones establecidas en la normativa ENS e ISO/IEC 27001. Algunos términos clave incluyen:

Activo de información: Cualquier dato, sistema o servicio que tiene valor para la organización.
Riesgo: Efecto de la incertidumbre sobre la seguridad, medido en función del impacto y la probabilidad.
Incidente de seguridad: Evento que compromete la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de la información.

4. Desarrollo de la Política de Seguridad

4.1 Misión de la Organización y Objetivos de Seguridad

La misión de la organización es ofrecer sus servicios de forma eficiente, confiable y segura, satisfaciendo las expectativas de sus clientes y otras partes interesadas. En apoyo a esta misión, la Dirección reconoce que la seguridad de la información es fundamental para generar confianza, asegurar la continuidad del negocio y cumplir con las obligaciones legales. Por ello, la Dirección establece los siguientes objetivos de seguridad de la información, en consonancia con el ENS e ISO/IEC 27001:

Servicio seguro y confiable: Asegurar que los servicios prestados y productos suministrados por la organización sean seguros y fiables, cumpliendo los requisitos y expectativas de los clientes, así como las normas e instrucciones aplicables. La seguridad se integrará desde la fase de diseño de nuevos productos y servicios, garantizando su calidad y continuidad.
Cumplimiento legal y normativo: Mantener actualizado el conocimiento de la legislación aplicable y cumplir todos los requisitos legales, regulatorios y contractuales en materia de seguridad de la información. Esto incluye especialmente las obligaciones relativas a la protección de datos personales (RGPD/LOPDGDD) y la salvaguarda de secretos empresariales.
Continuidad del negocio: Lograr y mantener el nivel de seguridad necesario para garantizar la continuidad del negocio, incluso ante situaciones adversas o incidentes graves. Se implementarán controles y planes de continuidad/contingencia para minimizar el impacto de desastres, fallos tecnológicos o ciberataques.
Confidencialidad, integridad y disponibilidad: Proteger la confidencialidad, integridad y disponibilidad de la información, así como su trazabilidad y autenticidad. Toda la información deberá ser clasificada según niveles de sensibilidad y manejada con controles acordes a su criticidad, asegurando que solo las personas autorizadas accedan a los datos sensibles.
Integración de la seguridad: Aumentar la integración de la seguridad tanto lógica (informática) como física, estableciendo una protección integral de los activos de la organización. Se fomentará la coordinación entre la seguridad de la información y la seguridad física para proteger instalaciones, personas y equipos de forma conjunta.
Estructura y gobernanza de la seguridad: Establecer una estructura corporativa clara para la gestión de la seguridad de la información, definida y respaldada por los órganos de decisión de la organización. Esto incluye la definición de roles y responsabilidades (por ejemplo, los responsables definidos en el ENS y el Comité de Seguridad de la Información) y el establecimiento de canales de comunicación eficaces entre todas las partes involucradas en la seguridad.
Protección de las personas y activos: Proteger a las personas que trabajan en la organización, sus comunicaciones y la integridad de la información que manejan. Del mismo modo, salvaguardar los demás activos corporativos (instalaciones, equipos, inversiones digitales, propiedad intelectual), reconociendo que el personal es un eslabón fundamental en la cadena de seguridad.
Concienciación y mejora continua: Implicar, motivar y comprometer a todo el personal (y a terceros que actúen en nombre de la organización) en la gestión de la seguridad de la información. Se promoverá una cultura de seguridad mediante programas periódicos de formación y concienciación, asegurando que todos conozcan sus obligaciones. La organización buscará la mejora continua de su Sistema de Gestión de Seguridad de la Información (SGSI), revisando regularmente objetivos, riesgos y controles para adaptarse a nuevos retos y amenazas.
Estos objetivos guían todas las actividades de seguridad de la información en la empresa. La Dirección se compromete a proporcionar los recursos necesarios para alcanzarlos y a mejorar continuamente la eficacia de las medidas de seguridad, evidenciando su respaldo a la presente política (por ejemplo, formalizando este compromiso con la firma de la Dirección al final del documento).

4.2 Roles y Responsabilidades en Seguridad de la Información

Siguiendo el principio de diferenciación de responsabilidades del ENS (artículo 11 del RD 311/2022) y las iniciativas de buen gobierno corporativo, la organización define claramente los siguientes roles de seguridad de la información y sus responsabilidades.

Comité de Seguridad Corporativa

Órgano colegiado encargado de supervisar la estrategia general de seguridad de la organización y dar apoyo ejecutivo a las decisiones clave.

En caso de ser necesario, podrá designarse un/a Responsable de Seguridad Corporativa, quien actuará como Secretario/a del Comité.

Comité de Seguridad de la Información

Responsable de coordinar y aplicar la política de seguridad de la información, realizar seguimiento de incidentes y riesgos, y apoyar al Responsable de Seguridad en la toma de decisiones técnicas y organizativas.

Este Comité estará compuesto por los siguientes cargos, en línea con el modelo definido en el Sistema de Gestión Integrado (SGI) conforme a la ISO/IEC 27001:

Responsable del SGI
Responsable de Seguridad de la Información.

Ambos asumen también las funciones de Responsable de la Información y Responsable del Servicio, conforme a lo definido en el artículo 11 del ENS.

Responsable de Seguridad (CISO)

El Responsable de Seguridad en Casmar ejerce como Chief Information Security Officer (CISO). Es la persona encargada de dirigir la implantación, verificación y mejora continua de las medidas de seguridad de la información.

Entre sus responsabilidades clave están:

Coordinar la implantación de las medidas técnicas y organizativas.
Supervisar la evaluación y tratamiento de los riesgos de seguridad.
Proponer la categorización de los sistemas y realizar el seguimiento del cumplimiento de controles.
Impulsar la formación y concienciación del personal.
Actuar como punto de contacto con auditores, certificadores y autoridades competentes en materia de seguridad.

Responsable del Sistema

El Responsable del Sistema se encarga del mantenimiento y operación segura de los sistemas de información de la organización.

Sus funciones incluyen:

Asegurar el cumplimiento de las medidas de seguridad técnicas definidas.
Gestionar la infraestructura tecnológica y las cuentas de usuario.
Monitorizar y registrar eventos de seguridad.
Aplicar cambios controlados en sistemas y aplicaciones.
Notificar inmediatamente cualquier vulnerabilidad o incidente grave al Responsable de Seguridad.

4.3 Estructura Organizativa y Comités de Seguridad

Casmar cuenta con una estructura organizativa para la gobernanza de la seguridad de la información, sustentada en dos comités diferenciados que operan de forma complementaria:

Comité de Seguridad Corporativa

Es el órgano de supervisión y coordinación estratégica en materia de seguridad. Su función principal es garantizar la integración de la seguridad de la información dentro de los objetivos generales de la organización, así como respaldar la toma de decisiones relevantes en este ámbito. Funciones principales:

Aprobar la estrategia de seguridad de la organización y sus planes de acción.
Validar la política de seguridad de la información y sus revisiones.
Evaluar los riesgos estratégicos y la adecuación de los recursos destinados a seguridad.
Realizar el seguimiento de las auditorías relevantes y las decisiones de cumplimiento.
Actuar como nexo entre la seguridad y la Alta Dirección.

Comité de Seguridad de la Información

Es el órgano operativo encargado de la gestión diaria de la seguridad de la información. Se encarga de coordinar la implantación de medidas técnicas y organizativas, supervisar riesgos operativos y apoyar al Responsable de Seguridad (CISO) en la ejecución del SGSI. Funciones principales:

Desarrollar, aplicar y revisar las políticas, procedimientos y controles de seguridad.
Realizar el seguimiento de incidentes, vulnerabilidades y no conformidades.
Proponer medidas de mejora y tratamiento de riesgos.
Apoyar en la planificación de auditorías internas y externas.
Impulsar la formación y concienciación del personal.
Servir de punto de coordinación con terceros en asuntos técnicos de seguridad.

Ambos comités mantendrán una relación fluida, coordinando acciones y compartiendo información crítica de seguridad. Mientras que el Comité de Seguridad Corporativa garantiza el alineamiento estratégico, el Comité de Seguridad de la Información se centra en la gestión operativa del día a día.

4.4 Revisión, Aprobación y Difusión de la Política

Esta Política de Seguridad de la Información se considera un documento vivo, sujeto a revisión periódica. Como mínimo, se revisará de forma anual para asegurar su vigencia y su adecuación a posibles cambios (en la organización, en las amenazas o en la normativa). La revisión será coordinada por el Comité de Seguridad de la Información (o el órgano equivalente designado al efecto), que evaluará la necesidad de actualizar la política y propondrá las modificaciones pertinentes o su ratificación. Cualquier revisión o nueva versión de la Política deberá ser aprobada por la Dirección de la organización.

Una vez aprobada, la Política (y sus actualizaciones) será difundida adecuadamente para que todos los miembros de la organización y partes afectadas la conozcan. Se utilizarán los canales de comunicación internos apropiados (reuniones informativas, correo electrónico, intranet corporativa, tablones de anuncios, etc.) para compartir la política, y se organizarán sesiones explicativas si es necesario. Asimismo, cuando corresponda, la política o sus aspectos relevantes se compartirán con terceros que presten o reciban servicios de la organización, para asegurar una comprensión común de los compromisos de seguridad.

La versión vigente de la Política de Seguridad de la Información estará siempre accesible para el personal (por ejemplo, publicada en la intranet corporativa o portal del empleado). Todos los empleados deberán confirmar que han leído y entendido la Política vigente (por medio de un registro de lectura, aceptación en la intranet, o mecanismo similar). El Comité de Seguridad llevará un registro de las revisiones realizadas a este documento, incluyendo fechas y aprobaciones, garantizando así un proceso de mejora continua del marco normativo de seguridad.

4.5 Gestión de la Documentación de Seguridad

Además de esta Política de Seguridad, la organización mantiene un conjunto de documentos de seguridad (normativas internas, procedimientos, guías, registros, etc.) que forman parte de su Sistema de Gestión de Seguridad de la Información. Para la gestión y el acceso de toda esta documentación de seguridad, se establecen las siguientes directrices:

Toda la documentación de seguridad será gestionada mediante un control de versiones y cambios. Cada documento tendrá un identificador de versión, fecha de aprobación y responsable de su contenido.
Los documentos de seguridad relevantes estarán disponibles para el personal autorizado a través de los repositorios corporativos establecidos (por ejemplo, una sección dedicada en la intranet o un gestor documental). La versión publicada en dichos repositorios se considerará la versión oficial y vigente.
Se definirá un esquema de clasificación de la documentación de seguridad según su sensibilidad. Por ejemplo, algunos documentos podrán ser de uso interno general (accesibles a todo el personal), mientras que otros más delicados (p. ej., informes detallados de riesgos, planes de respuesta a incidentes, resultados de auditorías) se etiquetarán como confidenciales y su acceso se restringirá únicamente a los roles que los necesiten (miembros del Comité de Seguridad, equipo de seguridad, alta dirección, etc.).
Cada documento de seguridad tendrá asignado un propietario o responsable de mantenimiento (por ejemplo, el CISO u otro responsable designado), quien deberá revisarlo periódicamente para garantizar que se mantiene actualizado y alineado con la normativa vigente y la realidad de la organización.
Las revisiones y actualizaciones de documentación de seguridad seguirán un proceso de aprobación similar al de esta Política: se someterán a evaluación por los responsables correspondientes (por ej., el Comité de Seguridad para documentos estratégicos, o responsables técnicos para procedimientos específicos) y se comunicarán a los usuarios afectados.
Cuando sea necesario proporcionar documentación de seguridad a terceros (por ejemplo, a auditores, clientes o proveedores con acuerdos de seguridad), se realizará bajo los debidos acuerdos de confidencialidad y asegurando que solo se comparte la información necesaria. Igualmente, cualquier copia o distribución no autorizada de la documentación de seguridad interna estará prohibida.

4.6 Gestión de Riesgos de Seguridad

La organización adopta un enfoque sistemático de gestión de riesgos para la seguridad de la información, acorde con las mejores prácticas (ENS, ISO/IEC 27005, etc.). Todos los sistemas de información y servicios dentro del alcance de esta Política deben someterse a análisis de riesgos de forma regular, con el objetivo de identificar las amenazas, vulnerabilidades y posibles impactos. Se realizará al menos una evaluación de riesgos al año sobre los sistemas y servicios críticos. Adicionalmente, se repetirán análisis de riesgos de forma extraordinaria cuando ocurra alguna de las siguientes situaciones:

Cambios significativos en la naturaleza de la información manejada (por ejemplo, incorporación de nuevos datos sensibles o datos personales especialmente protegidos en un sistema).
Modificaciones sustanciales en los servicios prestados o en la infraestructura de TI de soporte (por ejemplo, el despliegue de una nueva aplicación crítica, una migración importante a la nube, etc.).
Incidentes de seguridad graves que comprometan de forma seria los activos de información (por ejemplo, una brecha de datos masiva, un ataque de ransomware significativo).
Descubrimiento o notificación de vulnerabilidades críticas que afecten a sistemas en producción.

El proceso de gestión de riesgos incluirá: identificación de activos, valoración de su criticidad (de acuerdo con las categorías de seguridad del ENS), identificación de amenazas y vulnerabilidades, cálculo del riesgo (estimando probabilidades e impactos) y definición de tratamientos del riesgo adecuados (ya sea evitar el riesgo, mitigarlo mediante controles, transferirlo o aceptarlo). Los resultados de los análisis de riesgo se documentarán en informes específicos y serán tenidos en cuenta por la Dirección y los Responsables correspondientes para la toma de decisiones informadas.

Para armonizar la evaluación del riesgo en toda la organización, el Comité de Seguridad de la Información establecerá criterios comunes de valoración para los distintos tipos de activos, informaciones y servicios. Por ejemplo, definirá parámetros estandarizados para estimar los impactos como bajos, medios o altos en las diferentes dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad), de modo que los análisis realizados por distintas áreas sean comparables. Asimismo, el Comité velará por que la asignación de recursos de seguridad se priorice en función de los niveles de riesgo identificados, promoviendo inversiones que protejan múltiples sistemas de forma transversal cuando sea posible.

Por su parte, el Responsable de Seguridad (CISO) integrará la gestión de riesgos en la planificación de la seguridad: con base en los análisis de riesgos realizados, actualizará la Declaración de Aplicabilidad con las medidas de seguridad pertinentes y desarrollará planes de tratamiento de riesgos. Dichos planes detallarán las medidas a implementar, los responsables de ejecutarlas y los plazos establecidos, buscando reducir los riesgos a niveles aceptables para la organización. Los riesgos residuales (aquellos riesgos que permanecen después de aplicar las medidas) deberán ser aceptados formalmente por el propietario del riesgo correspondiente (es decir, el Responsable de la Información o el Responsable del Servicio afectado) antes de la puesta en producción o la entrada en operación del sistema o servicio. Esta aceptación se documentará, evidenciando la asunción consciente del riesgo por parte de la organización.

La monitorización continua del riesgo será responsabilidad de los propietarios del riesgo (Responsables de la Información o del Servicio), con el apoyo del Responsable de Seguridad. Se pueden emplear indicadores clave de riesgo (KRI) para aquellos riesgos críticos, estableciendo umbrales de alerta de modo que, si un riesgo aumenta por encima de cierto nivel tolerable, se active una respuesta o notificación inmediata a la dirección. La organización revisará periódicamente su apetito y tolerancia al riesgo en seguridad, asegurando que se mantienen alineados con los objetivos de negocio y adaptándolos si fuera necesario en función de la evolución del entorno de amenazas.

Por último, la gestión de riesgos de seguridad contemplará expresamente los riesgos derivados del tratamiento de datos personales, en línea con los principios del RGPD y la LOPDGDD. Cuando un sistema o proceso involucre datos personales, se evaluarán también los riesgos para los derechos y libertades de las personas. Si del análisis se deduce que existe un riesgo alto para la privacidad, se llevará a cabo un Análisis de Impacto en la Protección de Datos (DPIA) conforme a lo previsto en la normativa de protección de datos, con la participación del Delegado de Protección de Datos (DPO) si la organización cuenta con esta figura. Las medidas de seguridad adicionales o específicas que se adopten en estos casos seguirán tanto las directrices de gestión de riesgos del ENS e ISO 27005 como los requisitos legales de privacidad, asegurando una protección adecuada de la información personal tratada.

4.7 Obligaciones del Personal y Régimen Sancionador

La seguridad de la información es responsabilidad de todos los miembros de la organización. Cada usuario de los sistemas de información (empleados, becarios, colaboradores, etc.) debe proteger los activos de información con los que trabaja, mediante un uso correcto de los mismos. Esto implica seguir en todo momento las políticas, normas y procedimientos de seguridad establecidos, actuando de forma diligente para prevenir incidentes. En particular, todos los miembros de la organización tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa interna asociada; la ignorancia de los requisitos de seguridad no exime de su cumplimiento.

Para facilitar lo anterior, CASMAR ELECTRÓNICA, S.A. –a través del Comité de Seguridad de la Información– dispondrá de los medios necesarios (formación, difusión de guías, recordatorios periódicos) para que la información y las pautas de seguridad lleguen a todos los empleados. Adicionalmente, todo el personal deberá observar, de manera no exhaustiva, las siguientes obligaciones específicas en materia de seguridad:

Mantener la confidencialidad de la información a la que accede en su trabajo (por ejemplo, no revelando datos sensibles a personas no autorizadas y firmando acuerdos de confidencialidad cuando corresponda).
Usar las herramientas corporativas de forma segura (por ejemplo, no instalando software no autorizado en los equipos de la organización ni conectando dispositivos externos no controlados).
Gestionar adecuadamente las contraseñas y credenciales (manteniéndolas secretas, seguras y renovándolas periódicamente según las directrices).
Notificar de inmediato cualquier incidente de seguridad, fallo o actividad sospechosa que observe (ya sea al servicio de soporte técnico, al Responsable de Seguridad o mediante los canales definidos por la organización).
Respetar las directrices de seguridad en el puesto de trabajo (por ejemplo, bloquear la sesión o pantalla del computador al ausentarse, cifrar la información confidencial en soporte digital, etc.).

Estas obligaciones se desarrollan con mayor detalle en la normativa interna de seguridad (procedimientos, códigos de conducta, manuales del empleado, etc.). La organización proporcionará la formación y concienciación necesarias para que el personal pueda cumplir con sus responsabilidades de seguridad. En particular, la formación en seguridad será obligatoria antes de asumir un nuevo puesto de trabajo o una responsabilidad relevante (ya sea en la incorporación inicial del empleado o en caso de movilidad interna a un puesto que conlleve mayores requerimientos de seguridad). Además, se impartirán sesiones periódicas de reciclaje o actualización para todos los empleados, con el fin de mantener un nivel adecuado de conocimiento sobre buenas prácticas, políticas y procedimientos de seguridad. La participación en estas actividades formativas forma parte de las obligaciones de cada empleado.

El incumplimiento de esta Política de Seguridad o de las normas derivadas de la misma podrá acarrear medidas disciplinarias por parte de la organización, de acuerdo con el régimen sancionador previsto en los convenios laborales y la legislación vigente. Según la gravedad de la infracción, dichas medidas podrían ir desde amonestaciones verbales o por escrito, sesiones de formación adicional obligatoria, hasta sanciones laborales más severas e incluso el despido en casos de negligencia grave o incumplimientos dolosos. Adicionalmente, la organización se reserva el derecho de emprender acciones legales contra cualquier persona (interna o externa) que, mediante la violación de las normas de seguridad, cause daños significativos a los activos de información; ello sin perjuicio de las responsabilidades legales en las que dicha persona pudiera incurrir a título individual.

En resumen, la colaboración y el compromiso de todo el personal son indispensables para lograr los objetivos de seguridad de la información. La organización fomentará una cultura en la que la seguridad sea parte integral del trabajo diario y en la que todos se sientan responsables de proteger la información, conscientes de que la seguridad es un objetivo común.

4.8 Seguridad en las Relaciones con Terceras Partes

La presente política de seguridad de la información se extiende también a las relaciones de la organización con terceras partes (proveedores, socios, clientes u organismos externos) en todo aquello que afecte a la seguridad de la información o de los servicios. Esto aplica tanto cuando la organización presta servicios a terceros o maneja información de terceros, como cuando utiliza servicios externos o comparte información propia con otras entidades. A tal efecto, se establecen los siguientes lineamientos:

Servicios prestados a terceros:

Los terceros (clientes, organismos o socios a los que la organización presta un servicio o cuyos datos maneja) serán informados de los principios y requisitos de esta Política de Seguridad de la Información, de modo que conozcan los compromisos de seguridad asumidos por la organización.
En los contratos de servicio o acuerdos de nivel de servicio (SLA) con dichos terceros, se incluirán cláusulas de seguridad adecuadas que reflejen las obligaciones de ambas partes en esta materia.
Se establecerán canales de reporte y coordinación entre el Comité de Seguridad de la Información (o los responsables de seguridad designados) de la organización y los homólogos de la entidad tercera, para tratar de forma ágil cualquier asunto o incidente de seguridad relevante que afecte a los servicios compartidos.
Se definirán procedimientos de actuación coordinados para la gestión de incidentes que puedan involucrar a ambas partes, asegurando una respuesta conjunta y efectiva ante eventuales brechas de seguridad.

Servicios recibidos de terceros (proveedores):

Cuando la organización utilice servicios de terceros (por ejemplo, servicios en la nube, outsourcing de TI) o comparta información con proveedores, exigirá contractualmente que dichos terceros cumplan con esta Política de Seguridad y con la normativa de seguridad aplicable.
Se proporcionarán a los proveedores las partes relevantes de las políticas y normas de seguridad de la organización, para que puedan adoptar las medidas pertinentes en sus procesos.
El tercero deberá asumir las mismas obligaciones de seguridad establecidas por la organización, si bien podrá desarrollar sus propios procedimientos operativos para dar cumplimiento a esos requisitos (siempre que se alcancen los niveles de seguridad esperados).
Se implementarán procedimientos específicos de reporte y resolución de incidencias con el proveedor, de manera que exista claridad sobre cómo notificar y abordar cualquier brecha de seguridad que les afecte.
La organización verificará que el personal del tercero está adecuadamente concienciado y formado en seguridad, al nivel que se exige internamente. Por ejemplo, si el proveedor maneja información confidencial de la empresa, se requerirá que su personal haya firmado compromisos de confidencialidad y recibida formación en protección de datos antes de acceder a dicha información.

Incumplimiento de requisitos por terceros:

Si en algún caso un tercero (proveedor o socio) no pudiera cumplir algún aspecto de esta Política o de los requisitos de seguridad acordados, se requerirá que dicho tercero elabore un informe de riesgos detallando las desviaciones detectadas y las medidas propuestas para gestionarlas.
Internamente, el Responsable de Seguridad (CISO) evaluará ese informe y determinará las posibles brechas de seguridad que dichas desviaciones suponen para la organización.
Para continuar con la relación comercial o contractual, será necesaria la aprobación expresa de los riesgos residuales por parte de los correspondientes Responsables de la Información y del Servicio afectados. Es decir, los propietarios de los activos impactados deberán aceptar formalmente esos riesgos residuales antes de seguir adelante con la contratación o intercambio de información.
En caso de que no se otorgue esta aceptación (porque el riesgo se considere inaceptable), se acordarán medidas con el tercero para subsanar el incumplimiento; y si esto no fuera posible, la organización podría llegar a discontinuar la colaboración con ese proveedor o socio.

Supervisión de terceros y cadena de suministro:

La organización mantendrá un registro actualizado de terceros que tengan acceso a sus sistemas de información o datos, incluyendo referencia a los contratos o acuerdos de confidencialidad y seguridad firmados con cada uno.
El Comité de Seguridad de la Información revisará periódicamente el desempeño en seguridad de los terceros considerados críticos. Por ejemplo, podrá solicitar y analizar informes de auditoría de seguridad aportados por el proveedor, certificaciones o evidencias de cumplimiento de estándares, resultados de pentests realizados, etc., a fin de evaluar su nivel de seguridad.
De esta forma, la organización busca que su cadena de suministro y sus relaciones externas no introduzcan vulnerabilidades en la postura de seguridad corporativa. Cualquier hallazgo significativo en la seguridad de un tercero podrá dar lugar a la exigencia de mejoras por parte de éste, o incluso a la reconsideración de la relación si se identifica un riesgo elevado que no pueda mitigarse adecuadamente.

Mª Montserrat Castro Roca CEO

Barcelona, a 31 de marzo de 2025