Política de Seguridad de la Información

//Política de Seguridad de la Información
Política de Seguridad de la Información 2021-02-22T20:06:45+00:00

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1. CONTEXTO

La información constituye para la práctica totalidad de los procesos de negocio de TECNOLOGÍA, SISTEMAS Y APLICACIONES, S.L (en adelante, TECSISA), el hilo conductor imprescindible para la ejecución de los mismos con garantías de eficiencia y calidad, alcanzando, con ello, el cumplimiento de los objetivos estratégicos formalmente establecidos.

Las dimensiones principales de la seguridad de la información que deben ser garantizadas en la ejecución de cualquier proceso de negocio son:

  • Confidencialidad: Garantiza que la información solo se encuentre accesible a personas, entidades o procesos autorizados.
  • Integridad: Garantiza que la información es generada, modificada y eliminada solo por personas, entidades o procesos autorizados.
  • Disponibilidad: Garantiza que la información se encuentre accesible cuando las personas, entidades o procesos autorizados lo precisen.
  • Trazabilidad: Garantiza que la información relativa a los accesos y actividad ejecutada por personas, entidades o procesos se encuentra disponible para cualquier análisis de patrones de comportamiento anómalos que deba ser efectuado.

Por otro lado, se presentan otras dimensiones de seguridad, tales como la autenticación de las partes o, el no repudio que, de igual forma, deben ser garantizadas cuando el valor de seguridad de la información en el contexto del proceso de negocio en el que esté siendo almacenada, procesada, o transmitida, así lo precise.

La Política de Seguridad de la Información se basa en la adopción de principios claros y bien definidos que aseguren el cumplimiento de las directrices estratégicas, los requerimientos legales, así como los contractuales formalizados con terceros y, por tanto, se constituye como el instrumento principal en el que se apoya TECSISA para la utilización segura de las tecnologías de la información y comunicaciones.

La normativa (estándar, procedimientos e instrucciones de seguridad) que emane de la Política de Seguridad de la Información de TECSISA pasará a formar parte de la misma una vez haya sido divulgada, siendo de obligado cumplimiento para la totalidad de los empleados y terceras partes que hagan uso de la información propiedad de TECSISA.

Los empleados serán responsables de la seguridad de la información que procesan en el desempeño de sus funciones, y deberán conocer, comprender y cumplir las directrices y normas relativas a la seguridad de la información, velando por la correcta aplicación de las medidas de protección habilitadas.

El acceso a la información por parte de los empleados se limitará al estrictamente necesario para el correcto desempeño de las funciones formalmente asignadas garantizando, con ello, la atención de la política de mínimo privilegio. Por tanto, los responsables de cada una de las unidades organizativas tendrán en cuenta todas las medidas de seguridad de índole técnica y organizativa para definir y mantener los privilegios adecuados de acceso a la información de sus procesos, en función de las actividades de cada puesto de trabajo.

El incumplimiento de las directrices de la Política de Seguridad de la Información podría dar lugar a la aplicación de sanciones administrativas internas.

La Dirección de TECSISA asegurará que esta Política de Seguridad de la Información es entendida e implantada en todas las unidades organizativas, facilitando los recursos necesarios para la consecución de los objetivos definidos en este marco de actuación.

2. OBJETIVOS

La Política de Seguridad de la Información queda establecida como el documento de alto nivel que formaliza las distintas directrices de actuación en materia de seguridad adoptadas por TECSISA, y que serán desarrolladas en mayor detalle en la correspondiente normativa de seguridad elaborada a tales efectos.

Bajo esta premisa, por tanto, la Política de Seguridad de la Información contempla los siguientes objetivos principales:

  • Dar cumplimiento a la normativa legal de aplicación en el ámbito de la seguridad de la información.
  • Contribuir a cumplir con la misión y objetivos estratégicos establecidos por TECSISA.
  • Alinear la seguridad de la información con los requerimientos demandados por el negocio mediante la formalización y ejecución del proceso de análisis y evaluación de los riesgos a los que se encuentran expuestos los distintos activos de información, alcanzando la definición de una estrategia para la mitigación de los riesgos relacionados con el entorno de la seguridad de la información.
  • Garantizar la protección adecuada de los distintos activos de información en función del grado de sensibilidad y criticidad alcanzado por los mismos (valor de seguridad de los activos de información según las distintas dimensiones consideradas).
  • Garantizar una capacidad de respuesta eficaz a eventuales incidentes de seguridad de la información, minimizando el respectivo impacto operacional, financiero y reputacional.
  • Facilitar el dimensionamiento de los recursos necesarios para la correcta implantación de las medidas de seguridad de índole técnica y organizativa recogidas en la normativa de seguridad documentada a tales efectos.
  • Fomentar el uso de buenas prácticas en materia de seguridad de la información, así como crear una cultura de seguridad en el contexto de la estructura organizativa de TECSISA.
  • Establecer los mecanismos de revisión, monitorización, auditoría y mejora continua con el objeto de mantener los niveles de seguridad oportunos demandados por el modelo de negocio de TECSISA.

3. ALCANCE

La Política de Seguridad de la Información contempla en su alcance la totalidad de los activos de información existentes en TECSISA y que actúan como infraestructura de soporte para la posible ejecución de los procesos de negocio.

4. MARCO NORMATIVO

La formalización de la Política de Seguridad de la Información, así como la normativa de seguridad que se derive de la misma, tendrá en consideración e integrará la siguiente normativa legal aplicable:

  • Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, RGPD – Reglamento General de Protección de Datos), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Ley Orgánica, 3/2018, de 5 de diciembre de 2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, Ley 3/2018).
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSICE).

5. PRINCIPIOS

Los principios fundamentales que deben contemplarse a la hora de garantizar las dimensiones de la seguridad de la información son la prevención, detección, respuesta y recuperación, de manera que las potenciales amenazas existentes no se materialicen o, en caso de materializarse, no afecten gravemente a la información precisa para la ejecución de los procesos de negocio de TECSISA, manteniéndose en unos niveles aceptables con relación al impacto causado.

5.1. PREVENCIÓN

TECSISA debe prevenir, y evitar, en la medida de lo posible, que la información de negocio se vea perjudicada por incidentes de seguridad. Para ello, se deben implementar las medidas de seguridad que queden identificadas tras la ejecución del proceso de análisis y evaluación de los riesgos. Estos controles, así como los roles y responsabilidades formalizados en materia de seguridad, deben estar claramente definidos y documentados.

5.2. DETECCIÓN

Dado que los sistemas de información pueden degradarse rápidamente debido a incidentes de seguridad que pueden ir desde una simple desaceleración hasta su detención, se debe monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.

Esta monitorización es especialmente relevante cuando se establecen líneas de defensa en los términos considerados por las buenas prácticas de referencia en materia de seguridad de la información.

En el supuesto de que la degradación sea atribuida directamente a incidentes de seguridad, deberán establecerse los mecanismos oportunos de reporte que permitan la notificación al Responsable de Seguridad para su análisis e investigación de las causas.

5.3. RESPUESTA

Se deben establecer mecanismos para responder eficazmente a los incidentes de seguridad.

5.4. RECUPERACIÓN

Para garantizar la disponibilidad de los procesos críticos, se deben desarrollar planes de contingencia de los sistemas de información y comunicaciones como parte del plan general de continuidad de negocio y actividades de recuperación de la organización.

6. ENFOQUE DE RIESGOS

Los activos de información que conforman el alcance de la presente Política de Seguridad se encuentran sujetos a un análisis y evaluación de riesgos, con el objeto de identificar las amenazas a las que se encuentran expuestos, evaluar el impacto asociado a la materialización de tales amenazas, y determinar las situaciones de riesgos que podrían derivarse.

El resultado de este análisis y evaluación de riesgos permitirá la identificación y proposición de las medidas de seguridad oportunas como estrategia para la mitigación de los mismos.

Este análisis de riesgos atiende a las siguientes características principales:

  • Está basado en la aplicación de normas y metodologías de gestión de riesgos reconocidas como buenas prácticas a nivel nacional e internacional.
  • Establece una valoración de referencia para la información, de tal forma que se obtengan resultados homogéneos en la ejecución de las actividades inherentes al análisis de riesgos.
  • Se ejecuta con periodicidad anual, o cuando se presentan los siguientes escenarios:
    • Modificación sustancial de la información gestionada o los sistemas que actúan como soporte a los procesos de negocio.
    • Identificación de nuevos vectores de ataque, amenazas o vulnerabilidades asociadas al sistema.

El Comité de Seguridad de la Información liderará la ejecución periódica del análisis de riesgos, planificando los recursos técnicos, humanos y económicos necesarios a tales efectos.

Para los sistemas de información críticos quedan establecidos los correspondientes indicadores del estado de los riesgos (KRI’s – Key Risk Indicators). Estos indicadores son propuestos por el Responsable de Seguridad y aprobados por el propietario del riesgo, facilitando la siguiente información asociada:

  • Criterios de medición
  • Umbrales de alerta
  • Periodicidad de evaluación y reporte

7. ESTRUCTURA

La normativa de seguridad establecida por TECSISA se estructura en los siguientes niveles relacionados jerárquicamente:

  1. Nivel I: Política de Seguridad de la Información
  2. Nivel II: Estándar de Seguridad de la Información
  3. Nivel III: Procedimientos de Seguridad de la Información
  4. Nivel IV: Instrucciones específicas de Seguridad de la Información

Esta estructura jerárquica permite adaptar con eficiencia los niveles inferiores a los cambios en el entorno operativo de TECSISA sin necesidad de revisar su estrategia de seguridad.

El personal de TECSISA tendrá la obligación de conocer y cumplir, además de la Política de Seguridad de la Información, los estándares y procedimientos de seguridad que puedan afectar a sus funciones. Es, por ello, que recibirá la formación específica a tales efectos según las responsabilidades formalmente asignadas.

La normativa de seguridad estará disponible en la intranet de TECSISA.

7.1. NIVEL I: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Recogida en el presente documento, ha sido aprobada formalmente por el Comité de Seguridad de la Información, y detalla las directrices de actuación de TECSISA en materia de seguridad de la información con el objeto de contribuir al cumplimiento de la misión formalizada por la Dirección.

7.2. NIVEL II: ESTÁNDAR DE SEGURIDAD DE LA INFORMACIÓN

El segundo nivel desarrolla la Política de Seguridad de la Información mediante la identificación de los objetivos de seguridad considerados para los distintos dominios de seguridad:

  • Seguridad relativa a los recursos humanos
  • Gestión de activos de información
  • Control de accesos
  • Criptografía
  • Seguridad física y del entorno
  • Seguridad de las operaciones
  • Seguridad de las comunicaciones
  • Adquisición, desarrollo y mantenimiento de sistemas de información
  • Relación con proveedores
  • Gestión de incidentes de seguridad de la información
  • Aspectos de seguridad de la información para la gestión de la continuidad del negocio
  • Cumplimiento

Los objetivos de seguridad y, por ende, las medidas de seguridad que deben ser implantadas sobre los distintos activos de información para garantizar las dimensiones de seguridad de la información en los distintos procesos de TECSISA, se encuentran, de igual forma, clasificados en tres niveles de seguridad, según las exigencias consideradas en cada caso (valores de seguridad alcanzados para los activos de información que actúan como soporte para la ejecución de los procesos de negocio).

El estándar de seguridad deberá ser aprobado por el Comité de Seguridad de la Información con carácter previo a su formalización y divulgación, quedando definidos los criterios para la evaluación del cumplimiento (grado de cumplimiento de los objetivos de seguridad).

7.3. NIVEL III: PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN

El tercer nivel está constituido por procedimientos técnicos y organizativos de actuación que recogerán el conjunto de actividades y tareas que deben ser ejecutadas con el objeto de dar cumplimiento a los objetivos específicos de seguridad formalizados a través del estándar de seguridad documentado, según el valor de seguridad alcanzado por el activo de información.

Estas pautas de actuación serán de aplicación específica según los distintos dominios de seguridad considerados y detallados en el nivel de estándar de seguridad (Nivel II).

Los procedimientos de seguridad deberán ser aprobados por el Responsable de Seguridad con carácter previo a su formalización y divulgación.

7.4. NIVEL IV: INSTRUCCIONES ESPECÍFICAS DE SEGURIDAD DE LA INFORMACIÓN

Las instrucciones específicas de trabajo serán documentadas con el objeto de personalizar la aplicación de un procedimiento para un activo de información concreto y, por tanto, presentará el detalle de las actividades y tareas a ejecutar en el contexto de dicho activo de información para dar cumplimiento a lo establecido en el procedimiento de seguridad del cual deriva dicha instrucción.

Las instrucciones específicas de seguridad de la información aun cuando forman parte de la normativa de seguridad de TECSISA, serán documentadas según el consenso alcanzado por el Responsable de Seguridad y el responsable designado para el activo de información en función de la complejidad de entendimiento en lo relativo a la aplicación de lo establecido en el procedimiento para dicho activo de información concreto.

Las instrucciones específicas de seguridad de la información serán aprobadas internamente por el responsable designado para el activo de información tras el consenso alcanzado con el Responsable de Seguridad.

8. ORGANIZACIÓN Y RESPONSABILIDADES

La organización de la seguridad en TECSISA queda establecida mediante la identificación y formalización de las diferentes funciones y responsabilidades consideradas en esta materia.

8.1. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

Actúa como máximo órgano de control y supervisión en materia de seguridad de la información.

8.1.1. COMPOSICIÓN

El Comité de Seguridad de la Información está conformado por los siguientes miembros permanentes:

  • Responsable de Seguridad (en calidad de Secretario)
  • Dirección Técnica y de Sistemas (CTO/CIO)
  • Dirección de Recursos Humanos
  • Dirección de Asesoría Jurídica
  • Responsable de Privacidad

8.1.2. CONVOCATORIA Y REPORTE

El Comité de Seguridad de la Información se reunirá con periodicidad semestral, salvo excepciones debidamente justificadas de las que se deriven reuniones extraordinarias.

La convocatoria será efectuada por el Responsable de Seguridad que, de igual forma, aportará la información precisa para el tratamiento de las diferentes cuestiones incorporadas en el orden del día.

Como resultado de estas reuniones, el Responsable de Seguridad formalizará el acta de reunión correspondiente con las conclusiones principales alcanzadas, y la remitirá a los distintos órganos de gobierno afectados, y a los miembros integrantes del Comité de Seguridad de la Información, asumiendo la responsabilidad de la ejecución directa o delegada de las decisiones del Comité.

8.1.3. FUNCIONES

  • Colaborar con los órganos de gobierno en la definición de la estrategia de seguridad de la información.
  • Aprobar formalmente la Política de Seguridad de la Información y el Estándar de Seguridad de la Información.
  • Revisar anualmente la Política de Seguridad de la Información y el Estándar de Seguridad de la Información, y proponer las modificaciones que estime oportunas.
  • Aprobar las iniciativas que estime oportunas para mejorar la seguridad de la información, especialmente, las actividades de ejecución periódica relacionadas con el análisis de riesgos y la auditoría de seguridad.
  • Monitorizar los incidentes de seguridad de mayor relevancia notificados por el Responsable de Seguridad.
  • Ejecutar el proceso de designación de roles y responsabilidades para la estructura organizativa establecida en materia de seguridad, y resolver los conflictos que pudieran surgir a este respecto, elevando a los órganos de gobierno aquellos casos en los que no cuente con suficiente autoridad para la toma de decisiones.
  • Informar regularmente a la Dirección sobre el estado de seguridad alcanzado para los distintos procesos incorporados en el alcance.
  • Informar a la Dirección con relación al orden del día planteado en las distintas reuniones periódicas mantenidas por este Comité, así como las conclusiones alcanzadas en el transcurso de las mismas.
  • Monitorizar los principales riesgos aceptados por la Dirección e identificar posibles actuaciones, procediendo a la priorización de las mismas con el objeto de garantizar que los esfuerzos son consistentes.
  • Dar respuesta a las inquietudes o consultas transmitidas a través de los responsables de las distintas unidades organizativas de TECSISA.
  • Supervisar que los aspectos de seguridad se tienen en cuenta en todos los proyectos TIC aprobados (desde su especificación inicial hasta su implantación), garantizando una visión homogénea en el tratamiento de los riesgos (garantías de cumplimiento del Principio Security by Design and by Default).
  • Promover la ejecución de auditorías periódicas que permitan verificar el cumplimiento de las obligaciones en materia de seguridad.

8.2. FUNCIONES Y RESPONSABILIDADES

La asignación de responsabilidades en materia de seguridad se encuentra debidamente alineada con las competencias funcionales formalizadas en el contexto de la estructura organizativa de TECSISA.

RESPONSABLE DE SEGURIDAD (CISO)

  • Liderar las reuniones del Comité de Seguridad de la Información.
  • Elaborar informes periódicos de seguridad para el Comité de Seguridad de la Información con el detalle de los incidentes más relevantes y el nivel de respuesta actual.
  • Formalizar y divulgar la normativa de seguridad que emana de la Política de Seguridad de la Información.
  • Aprobar los procedimientos de seguridad de la información elaborados.
  • Determinar y establecer la metodología y herramientas para llevar a cabo el análisis de riesgos.
  • Aprobar el análisis y evaluación de los riesgos identificados en el contexto de la seguridad de la información, coordinando su actualización periódica.
  • Monitorizar el correcto cumplimiento de los objetivos de seguridad recogidos en el estándar de seguridad.
  • Verificar la implantación de las medidas de seguridad consideradas mediante la ejecución de análisis de riesgos periódicos.
  • Realizar el seguimiento de los incidentes de seguridad de la información, coordinando la respuesta oportuna.
  • Promover la planificación de auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información.
  • Establecer puntos de enlace con especialistas externos que le permitan la identificación de tendencias, normas y métodos de seguridad pertinentes.
  • Coordinar la definición, implantación y mantenimiento de un Plan de Continuidad de Negocio para los distintos procesos considerados críticos.
  • Exponer a la Dirección las necesidades y propuestas identificadas en materia de seguridad como estrategia para la mitigación de los riesgos.
  • Ejecutar los procesos de gestión de eventos e incidentes de seguridad.

DIRECCIÓN TÉCNICA Y DE SISTEMAS (CTO/CIO)

  • Desarrollar, operar y mantener la infraestructura tecnológica y de comunicaciones durante todo su ciclo de vida, garantizando el correcto funcionamiento.
  • Proponer mejoras tecnológicas hardware y software en materia de seguridad.
  • Implementar las mejoras tecnológicas aprobadas.
  • Crear y actualizar los documentos de instalación, configuración, contingencia y copia de seguridad para los activos de información considerados en el alcance.

DIRECCIÓN DE RECURSOS HUMANOS

  • Asesorar en materia de relaciones laborales y su interrelación con las responsabilidades de los empleados en materia de seguridad de la información.
  • Planificar los seminarios de formación y concienciación de empleados en materia de seguridad de la información.

DIRECCIÓN DE ASESORÍA JURÍDICA

  • Asesorar en el ámbito de los requerimientos legales relacionados con el entorno de seguridad de la información.
  • Asesorar en el ámbito de los requerimientos contractuales que deben ser formalizados en la relación con terceros y específicos del entorno de seguridad de la información.

RESPONSABLE DE PRIVACIDAD

Las funciones que deben ser atendidas por el Responsable de Privacidad se encontrarán alineadas con las detalladas por el artículo 39 del Reglamento General de Protección de Datos (en adelante, RGPD) con relación al Delegado de Protección de Datos:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  • Supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento oportuno con relación a las evaluaciones de impacto relativas a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD.
  • Cooperar con la autoridad de control (Agencia Española de Protección de Datos, en adelante, AEPD).
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

Otras funciones asignadas formalmente al Responsable de Privacidad son:

  • Revisión de contratos de prestación de servicios en vías de formalización con proveedores (Encargados del Tratamiento) con el objeto de evaluar la idoneidad de las cláusulas referidas en materia de protección de datos.
  • Revisión de formularios de recogida de datos con el objeto de confeccionar las cláusulas pertinentes de protección de datos que permitan la correcta atención del Principio de Transparencia.
  • Asistencia en las actividades que se derivan para una correcta notificación y gestión de las brechas de seguridad (escenarios de violación de la seguridad de los datos) que pudieran presentarse.
  • Comunicación de las novedades jurídicas (principalmente, directivas emitidas por la AEPD o el Comité Europeo de Protección de Datos) que pudieran impactar sobre las actividades de tratamiento existentes.
  • Atención de las consultas de tipo técnico, organizativo o legal que pudieran presentarse en materia de protección de datos con relación a los distintos procesos de tratamiento de datos existentes.

RESPONSABLES DE LAS UNIDADES ORGANIZATIVAS PROPIETARIAS DE LA INFORMACIÓN

  • Aplicar los criterios de clasificación de la información según las distintas dimensiones de seguridad consideradas, valorando el impacto que podría provocar la presencia de determinados incidentes de seguridad.
  • Participar junto con el Responsable de Seguridad en los preceptivos análisis de riesgos, identificando los niveles de riesgo residual aceptables que deben ser formalizados por la Dirección.
  • Aprobar las instrucciones de seguridad emitidas en el contexto de los activos de información bajo su responsabilidad.
  • Garantizar el cumplimiento de las medidas de seguridad consideradas en el contexto de los activos de información bajo su responsabilidad.
  • Notificar al Responsable de Privacidad si la información tratada en su ámbito de actuación contiene datos de carácter personal.

USUARIOS

  • Conocer y cumplir la Política de Seguridad, así como la normativa de seguridad que se deriva de la misma y que sea de aplicación en el desempeño de sus funciones.
  • Colaborar en la notificación al Responsable de Seguridad de todo incidente que se detecte relativo a la seguridad de la información.
  • Utilizar los activos de información para el propósito establecido.
  • Atender los acuerdos de confidencialidad de la información derivados de la formalización de la relación laboral con TECSISA.
  • Los usuarios responsables de la contratación de servicios con terceros están obligados a obtener de éstos la conformidad con relación a las cláusulas de confidencialidad oportunas.

9. TERCERAS PARTES

Cuando TECSISA requiera de la participación de terceras partes para la prestación de un servicio, les hará participes de la normativa de seguridad que sea de consideración en el contexto de dicha colaboración, quedando éstos sujetos a las obligaciones establecidas en dicha normativa.

Se formalizarán los procedimientos específicos de reporte y resolución de incidentes de seguridad que pudieran presentarse durante la prestación del servicio.

Cuando algún aspecto de la normativa de seguridad no pueda ser satisfecho por una tercera parte, se requerirá la autorización del Responsable de Seguridad previa identificación de los riesgos en que se incurre y la forma de tratarlos, no siendo posible la formalización de la contratación con carácter previo a la obtención de dicha autorización.

10. REVISIÓN

La Política de Seguridad de la Información será revisada anualmente por el Responsable de Seguridad o cuando exista un cambio significativo (enfoque de la gestión de la seguridad, circunstancias del negocio, cambios legales, cambios en el ambiente técnico, recomendaciones realizadas por autoridades de control y tendencias relacionadas con amenazas y vulnerabilidades) que obligue a ello.

En el caso de que se obtenga una nueva versión de la Política de Seguridad de la Información, será precisa la aprobación formal del Comité de Seguridad de la Información con carácter previo a su divulgación.

11. SANCIONES APLICABLES

El incumplimiento o violación, debidamente acreditado, de las directrices recogidas en la Política de Seguridad de la Información o en las prácticas de actuación y medidas de seguridad recogidas en la normativa de seguridad derivada de ésta, podría dar lugar a la aplicación de sanciones administrativas internas.

Las excepciones a la presente Política de Seguridad de la Información deberán ser previamente justificadas mediante la aplicación de un proceso formal de aceptación del riesgo. Tales excepciones deberán ser registradas y monitorizadas por el Comité de Seguridad de la Información.

12.     ENTRADA EN VIGOR

Texto aprobado por el Comité de Seguridad de la Información el día 17 de diciembre de 2020.

Su entrada en vigor supone la derogación de cualquier otra Política que existiera a tales efectos, así como su publicación en la Intranet de la entidad.