Tecnología en sus Manos S.L. (TCMAN), para abordar los problemas relacionados con la seguridad de la información, emite la siguiente Política de Seguridad de la Información en el marco del Sistema de Gestión de la Seguridad de la Información (SGSI) implementado en la organización, conforme a la norma internacional de referencia ISO/IEC 27001:2022.

El propósito y objetivo de esta política es proteger los activos de información de la organización frente a todas las amenazas (internas o externas, deliberadas o accidentales), garantizando la continuidad de las operaciones, minimizando los daños derivados de incidentes, maximizando el rendimiento de las inversiones y aprovechando las oportunidades del sector. Cabe destacar que el SGSI tiene como alcance «el sistema de información que da soporte a los servicios de diseño y desarrollo, comercialización, implantación y mantenimiento del software de gestión de mantenimiento de activos».

La Alta Dirección de TCMAN ha aprobado la presente Política de Seguridad de la Información, la cual es de aplicación obligatoria para todo el personal, contratistas, proveedores y terceros que accedan o gestionen información y sistemas. Es política de TCMAN asegurar que:

• La información y los sistemas identificados como vulnerables a ciberataques se protegerán, garantizando la confidencialidad, integridad y disponibilidad.

• Se cumplirán los requisitos regulatorios, legislativos y normativos aplicables, incluyendo el RGPD, la LOPDGDD, la LSSI-CE, la Ley de Retención de Datos, el Real Decreto 311/2022 del ENS, la Directiva NIS II y otras normativas sectoriales; revisándose de forma periódica las actualizaciones de la legislación.

• Los controles y medidas de seguridad se fundamentarán en un proceso de gestión de riesgos, realizado de forma periódica y documentada, que sustente la selección de controles y el tratamiento de riesgos.

• Se desarrollarán, mantendrán y probarán planes de contingencia y recuperación ante incidentes de ciberseguridad, a fin de asegurar la continuidad del negocio.

• La capacitación y concienciación en ciberseguridad estarán disponibles y serán obligatorias para todo el personal, adaptándose a los diferentes roles y responsabilidades.

• Todas las violaciones de la seguridad de la información sean reales o sospechadas, serán informadas de inmediato e investigadas por el responsable de Seguridad de la Información, conforme a los procedimientos establecidos para la gestión de incidentes.

• Los terceros colaboradores (proveedores, fabricantes, etc.) serán supervisados en relación con sus propios compromisos y políticas de seguridad, asegurando el cumplimiento de los controles exigidos por TCMAN.

• El SGSI se mejorará de forma continua mediante auditorías internas, revisiones de gestión y la actualización de controles en función de los resultados del análisis de riesgos y de los cambios en el entorno.

• Se han establecido procedimientos complementarios para respaldar esta política, incluyendo la gestión de incidentes, el control de accesos, la realización de copias de seguridad, la aplicación de controles de malware, la gestión de contraseñas y el cifrado, así como la elaboración y mantenimiento del inventario y clasificación de activos.

• Se dispone de un procedimiento formal para la gestión de excepciones y para la aplicación de medidas disciplinarias en caso de incumplimiento de la presente política.

El rol y la responsabilidad del responsable de Seguridad de la Información consiste en administrar la seguridad de la información, asesorar en la aplicación de la política y coordinar la gestión de incidentes y medidas correctivas.

El propietario de esta política tiene la responsabilidad de revisarla de forma periódica – al menos una vez al año o ante cambios significativos en el entorno legal, tecnológico o de riesgos – y de comunicar cualquier actualización a la Alta Dirección.

Todos los jefes de departamento son responsables de implementar esta política en sus respectivas áreas, siendo cada empleado de TCMAN responsable de cumplir con lo establecido en la misma, así como con los procedimientos y normativas que deriven de ella.