Política de seguridad

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

El Grupo Garrigues ha tomado la decisión de gestionar los Sistemas de la Información (en adelante, SGSI) utilizando las mejores prácticas internacionales, conforme al estándar ISO/IEC 27001 y Esquema Nacional de Seguridad (ENS).

Teniendo en cuenta lo anterior, la Política de Seguridad de la Información se elabora en cumplimiento de las exigencias legales previstas en las siguientes disposiciones normativas:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS).
     
  • Norma ISO27001: 2022.
     
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-gdd).

El Objetivo de la Política de Seguridad de los Sistemas de Información es doble:

  • Por un lado, consiste en definir el marco de referencia que permita salvaguardar las características de seguridad de los activos que dan soporte a los procesos del Grupo Garrigues. Y ello, en base a los resultados del análisis de riesgos realizado, a los requisitos estratégicos del negocio alineados con los requisitos de seguridad, así como a los requisitos legales y contractuales. Como exige el marco de referencia anteriormente mencionado, esta Política de Seguridad sirve para establecer los principios fundamentales de seguridad de los Sistemas de Información que se desarrollan en las normas, procedimientos, instrucciones técnicas, registros u otros documentos necesarios para especificar el uso de la información, de los sistemas y de los activos que los soportan.
     
  • Por otro, la Política de Seguridad de la Información de Garrigues tiene como objetivo establecer las medidas de seguridad de naturaleza organizativa, física y lógica que se consideran adecuadas para salvaguardar las características de seguridad de los activos mencionados, partiendo del presupuesto de que la seguridad debe ser concebida como un proceso integral transversal (que comprende todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información y comunicaciones), y no debe entenderse como un gasto en la gestión, sino como una inversión en evitar impactos negativos sobre el negocio.
     

Esta Política es de aplicación a los Sistemas de Información referentes al proceso de clientes que trata el Grupo Garrigues en el desarrollo de sus actividades. Cualquier normativa, procedimiento o documento interno que trate algún aspecto particular de la  seguridad referida a los Sistemas de Información debe respetar y cumplir con lo establecido en esta Política.

La Política establecida es aplicable a todos los empleados, socios y otros miembros de sociedades del Grupo Garrigues integradas en los sistemas de Garrigues, así como a colaboradores y terceros relacionados con las actividades y procesos de negocio definidos dentro del alcance del SGSI, que dan soporte a los procesos relacionados con clientes del Grupo Garrigues (en adelante, “usuarios de la información” o, simplemente, “usuarios”).

Los principios fundamentales de la Política de Seguridad de los Sistemas de Información son:

  1. Principio de cumplimiento normativo: todos los sistemas de información se ajustarán a la normativa de aplicación legal regulatoria y sectorial que afecte a la seguridad de la información, en especial aquellas relacionadas con la protección de datos de carácter personal, seguridad de los sistemas, datos, comunicaciones y servicios electrónicos.
     
  2. Principio de gestión del riesgo: se deben minimizar los riesgos hasta niveles aceptables y buscar el equilibrio entre los controles de seguridad y la naturaleza de la información. Los objetivos de seguridad deben ser establecidos, ser revisados y coherentes con los aspectos de seguridad de la información.
     
  3. Principio de concienciación y formación: se articularán programas de formación, sensibilización y campañas de concienciación para todos los usuarios con acceso a la información, en materia de seguridad de la información.
     
  4. Principios de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad:
     
    • Se debe garantizar la confidencialidad de la información, de tal manera que solo tengan acceso a la misma las personas autorizadas.
       
    • Deberá asegurarse la integridad de la información con la que se trabaja, de modo que sea concisa y precisa, incidiéndose en la exactitud, tanto de su contenido como de los procesos involucrados.
       
    • Se debe garantizar la disponibilidad de la información, asegurándose la continuidad del negocio soportado por los servicios de la información mediante planes de contingencias.
       
    • Se debe garantizar la trazabilidad de la información, para asegurar que las actuaciones de una entidad (persona o proceso) puedan ser trazadas de forma indiscutible hasta dicha entidad.
       
    • Se debe garantizar la autenticidad de la información, para asegurar la identidad de la entidad (persona o proceso) que trata dicha información.
       
  5. Principio de proporcionalidad: la implantación de controles que mitiguen los riesgos de seguridad de los activos debe hacerse buscando el equilibrio entre las medidas de seguridad, la naturaleza de la información y riesgo.
     
  6. Principio de responsabilidad: todos los miembros del Grupo GARRIGUES deben ser responsables en su conducta en cuanto a la seguridad de la información, cumpliendo con las normas y controles establecidos.
     
  7. Principio de mejora continua: se revisará de manera recurrente el grado de eficacia de los controles de seguridad implantados en el despacho para aumentar la capacidad de adaptación a la constante evolución del riesgo y del entorno tecnológico.
     

Esta política es el marco de referencia para el establecimiento de objetivos en materia de seguridad.

Garrigues dispone de un plan de continuidad de negocio para garantizar la disponibilidad de los sistemas y servicios críticos. En concreto, Garrigues ha establecido:

  • Plan de continuidad de negocio.
     
  • Análisis de impacto de negocio.
     
  • Plan de recuperación ante desastres

El Plan de Continuidad de Garrigues está diseñado para respaldar la operación continua en actividades de soporte clave de Garrigues, reducir el daño y el impacto de incidentes inesperados en los servicios mejorar la capacidad de recuperar rápidamente el negocio.

De conformidad con lo dispuesto en el artículo 33 del RD 311/2022, de 3 de mayo, Garrigues notificará a sus clientes aquellas incidencias que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados en relación con la categorización del sistema ENS.

Cualquier tercero que acceda a información de Garrigues, en el marco de una prestación de servicios, deberá conocer esta Política de Seguridad y la normativa asociada, y comprometerse al debido cumplimiento de las obligaciones derivadas de ella, pudiendo desarrollar en su caso sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se exigirá que el personal de esos terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad. 

Si necesita cualquier información adicional sobre nuestra política de seguridad o tiene alguna sugerencia al respecto puede enviar un mensaje de correo electrónico a la siguiente dirección: [email protected]