Logo Lener
ES • EN • CA
  • La Firma

    Qui som

    RSE

    Aliances
  • Pràctiques

    Reestructuracions

    Legal i Tributari

    M&A i Mercantil

    Laboral i PRL

    Fiscal i Tributari

    Processal i arbitratge

    Immobiliari i urbanisme

    Públic

    Compliance i Govern Corporatiu

    Administracions Concursals
  • Sectors

    Sanitari

    Hoteler

    Immobiliari

    Agroalimentari

    Fundacions I ONG’s

    Client Privat

    Transport

    Construcció i Obra Pública
  • Corp.Finance
  • Professionals
  • Actualitat
  • Talent
  • Contacte

Política de Seguretat de la informació

1. Aprovació i entrada en vigor

La present Política de seguretat de la informació ha estat elaborada i aprovada pel Comitè de Seguretat de LENER ASESORAMIENTO EMPRESARIAL, d’ara endavant GRUPO LENER, i serà efectiva i aplicable des de la data de la seva publicació a la Intranet de l’organització i la consegüent comunicació als usuaris.

2. Introducció

GRUPO LENER ha desenvolupat aquesta Política de seguretat per definir els principis i les bases necessàries per a una gestió adequada de la seguretat de la informació tractada per l’entitat, així com per donar compliment als requisits de la norma de referència ISO 27001.

GRUPO LENER, per al desenvolupament de les seves activitats, depèn dels sistemes TIC (Tecnologies de la Informació i les Comunicacions) per assolir els seus objectius. Aquests sistemes han de ser administrats amb diligència, prenent les mesures adequades per protegir-los davant danys accidentals o deliberats que puguin afectar la disponibilitat, integritat o confidencialitat de la informació tractada o dels serveis prestats.

L’objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels serveis, actuant preventivament, supervisant l’activitat diària i reaccionant amb rapidesa davant incidents.

Els sistemes TIC han d’estar protegits contra amenaces en ràpida evolució amb potencial per afectar la confidencialitat, integritat, disponibilitat, ús previst i valor de la informació i dels serveis. Per defensar-se d’aquestes amenaces, és necessària una estratègia que s’adapti als canvis en les condicions de l’entorn per garantir la prestació contínua dels serveis. Això implica que els departaments han d’aplicar les mesures mínimes de seguretat exigides per la normativa de referència, fer un seguiment continu dels nivells de prestació de serveis, seguir i analitzar les vulnerabilitats reportades i preparar una resposta efectiva als incidents per garantir la continuïtat dels serveis prestats.

Els diferents departaments han de garantir que la seguretat TIC és una part integral de cada etapa del cicle de vida del sistema, des de la seva concepció fins a la seva retirada de servei, passant per decisions de desenvolupament o adquisició i activitats d’explotació. Els requisits de seguretat i les necessitats de finançament s’han d’identificar i incloure en la planificació i desenvolupament dels projectes interns o externs de l’organització.

2.1 Presentació de l’empresa

GRUPO LENER és una firma espanyola, nascuda el 1982 i orientada a l’assessorament empresarial. La nostra inquietud per aportar solucions jurídico-econòmiques al teixit empresarial ens ha portat a evolucionar i ampliar els nostres serveis en tots els camps del Dret de l’Empresa, conformant així un Grup que pretén cobrir totes les necessitats del món dels negocis, en temes concursals, recuperació de deute, assessorament financer així com assessorament fiscal, laboral i comptable, sense perdre el focus inicial com experts en reestructuració empresarial.

El GRUPO LENER està actualment format per més de 300 advocats i economistes, oferint un servei jurídic i econòmic integrat a escala nacional i internacional, a través de sis seus a Madrid, Barcelona, Oviedo, Valladolid, Vigo i Sevilla, cosa que garanteix un accés i acompanyament proper als interessos dels nostres clients.

Coneixement de primer nivell dels sectors econòmics en què actuem. Sabem que la creació d’oportunitats per als nostres clients sorgeix de perspectives difícils d’obtenir sense les habilitats que deriven d’una experiència sectorial extensa.

Alta especialització en diferents àrees jurídiques. És una condició necessària però no suficient per formar part de la nostra organització.

Estem organitzats en equips multidisciplinaris, amb l’objectiu d’oferir les visions i solucions més enriquidores, amb el màxim valor afegit per als nostres clients.

La nostra interlocució és àgil i directa. La nostra estructura és molt plana. La implicació dels socis i associats de nivell alt és habitual. Això és molt valorat pels nostres clients.

Com a part del GRUPO LENER, comptem també amb la societat TAX MASTER GESTIÓN, una assessoria fiscal, laboral i comptable que ajuda les empreses a complir les seves obligacions recurrents en matèria de liquidació i presentació d’impostos, gestió i administració de personal, comptabilitat i altres aspectes relacionats amb l’optimització d’aquestes matèries.

La seva activitat es desenvolupa en una gran varietat d’àmbits: treballant per a tots els sectors d’activitat, empreses familiars, fundacions, particulars amb grans patrimonis i institucions de diferents característiques.

2.2 Valors de l’organització

Coneixement
Coneixement financer i jurídic de primer nivell dels sectors econòmics on actuem, que es tradueix en la creació de noves oportunitats per als nostres clients.

Experiència
La nostra activitat es desenvolupa en tots els camps del dret de l’empresa des de fa més de 35 anys, actuant a escala nacional i internacional.

Valors
Compromís amb els resultats, honestedat i fermesa en l’execució de les alternatives, creativitat en la generació de solucions, proactivitat en els processos més delicats i acompanyament dels clients en tot el camí.

3. Abast

Aquesta Política s’aplicarà als sistemes d’informació de GRUPO LENER que donen suport als serveis prestats per les diferents organitzacions del grup.

En particular, GRUPO LENER ha decidit la certificació de la gestió de la seguretat de la informació segons la norma ISO 27001 per al següent abast:

ISO 27001:
"Sistema de Gestió de Seguretat de la Informació que dona suport als serveis prestats per les diferents societats: assessorament jurídic en l’àmbit empresarial, financer, legal, tributari i concursal, i la prestació dels mateixos a clients mitjançant serveis Cloud".

4. Marc normatiu

Per al desenvolupament d’aquesta Política de seguretat i del sistema de gestió associat, s’han tingut en consideració el marc normatiu de seguretat de la informació aplicable a l’organització, i els principals estàndards de referència, sent aquests principalment:

  • Norma UNE-EN ISO/IEC 27001:2023 Seguretat de la informació, ciberseguretat i protecció de la privacitat. Sistemes de gestió de la seguretat de la informació. Requisits.
  • Norma UNE-EN ISO/IEC 27002:2023 Seguretat de la informació, ciberseguretat i protecció de la privacitat. Controls de seguretat de la informació.
  • Reial Decret 311/2022, de 8 de gener (BOE de 29 de gener), pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’administració electrònica.

Addicionalment, es tenen en consideració totes aquelles normatives o estàndards relacionats amb la seguretat de la informació que puguin ser d’aplicació o rellevants per a l’organització, i que s’identifiquen a través del Procediment de compliment legal i el registre associat al mateix. Entre aquestes normes de referència es poden considerar, entre altres:

  • Norma ISO 27017:2021 Controls de Seguretat per a Serveis al Núvol.
  • Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 (RGPD).
  • Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.

El manteniment del marc normatiu serà responsabilitat de GRUPO LENER, i es mantindrà com a annex al Procediment de compliment legal.

5. Compliment dels requisits mínims de seguretat

GRUPO LENER, per aconseguir el compliment dels requisits de les normes i normatives esmentades, ha implementat diversos processos i mesures de seguretat proporcionals a la naturalesa de la informació i els serveis a protegir.

5.1 La seguretat com un procés integral i mínim privilegi

La seguretat s’entén com un procés integral constituït per tots els elements tècnics, humans, materials, jurídics i organitzatius relacionats amb el sistema. La gestió de la seguretat de la informació a GRUPO LENER estarà presidida per aquest principi, que exclou qualsevol actuació puntual o tractament conjuntural.

Es prestarà la màxima atenció a la conscienciació de les persones que intervenen en el procés i dels seus responsables jeràrquics, per evitar que la ignorància, la manca d’organització i coordinació, o instruccions inadequades, siguin fonts de risc per a la seguretat.

Els sistemes d’informació han de dissenyar-se i configurar-se atorgant els mínims privilegis necessaris per al seu correcte funcionament, cosa que implica incorporar els aspectes següents:

  • El sistema proporcionarà la funcionalitat imprescindible perquè l’organització assoleixi els seus objectius competencials o contractuals.
  • Les funcions d’operació, administració i registre d’activitat seran les mínimes necessàries, i s’assegurarà que només siguin desenvolupades per persones autoritzades, des d’emplaçaments o equips autoritzats; podent exigir-se, si escau, restriccions d’horari i punts d’accés facultats.
  • En un sistema d’explotació, s’eliminaran o desactivaran, mitjançant el control de la configuració, les funcions que siguin innecessàries o inadequades al fi que es persegueix. L’ús ordinari del sistema ha de ser senzill i segur, de manera que la utilització insegura requereixi un acte conscient per part de l’usuari.
  • S’aplicaran guies de configuració de seguretat per a les diferents tecnologies, adaptades a l’organització, per eliminar o desactivar les funcions que siguin innecessàries o inadequades.

5.2 Vigilància contínua, reavaluació periòdica, integritat, actualització del sistema i millora contínua del procés de seguretat

La vigilància contínua per part de GRUPO LENER permetrà la detecció d’activitats o comportaments anòmals i la resposta oportuna.

L’avaluació permanent de l’estat de la seguretat dels actius permetrà mesurar-ne l’evolució, detectant vulnerabilitats i identificant deficiències de configuració.

Les mesures de seguretat es reavaluaran i actualitzaran periòdicament, adequant-ne l’eficàcia a l’evolució dels riscos i els sistemes de protecció, podent arribar a un replantejament de la seguretat si fos necessari.

La inclusió de qualsevol element físic o lògic al catàleg actualitzat d’actius del sistema, o la seva modificació, requerirà autorització formal prèvia.

L’avaluació i monitoratge permanents permetran adequar l’estat de seguretat dels sistemes atenent les deficiències de configuració, les vulnerabilitats identificades i les actualitzacions que els afectin, així com la detecció primerenca de qualsevol incident.

El procés integral de seguretat implantat haurà de ser actualitzat i millorat de manera contínua. Per això, s’aplicaran els criteris i mètodes reconeguts en la pràctica nacional i internacional relatius a la gestió de la seguretat de les tecnologies de la informació.

5.3 Gestió de personal i professionalitat

Tot el personal, propi o aliè, relacionat amb els sistemes d’informació de GRUPO LENER dins l’àmbit del Sistema de Gestió de Seguretat de la Informació (SGSI), serà format i informat dels seus deures, obligacions i responsabilitats en matèria de seguretat. La seva actuació serà supervisada per verificar que se segueixen els procediments establerts.

S’elaboraran normes d’ús acceptable relacionades amb els actius corporatius, el correu electrònic, els suports, etc., que seran aprovades pel Comitè de Seguretat. Igualment, es determinaran els requisits necessaris de formació i experiència del personal per al desenvolupament del lloc de treball.

La seguretat dels sistemes d’informació serà atesa, revisada i auditada per personal qualificat, dedicat i instruït en totes les fases del seu cicle de vida: planificació, disseny, adquisició, construcció, desplegament, explotació, manteniment, gestió d’incidències i desmantellament.

D’una manera objectiva i no discriminatòria, s’exigirà que les organitzacions que ens proporcionen serveis comptin amb professionals qualificats i amb uns nivells idonis de gestió i maduresa dels serveis prestats.

5.4 Gestió de la seguretat basada en els riscos, anàlisi i gestió de riscos

L’anàlisi i la gestió dels riscos seran una part essencial del procés de seguretat i una activitat contínua i permanentment actualitzada.

La gestió dels riscos permetrà mantenir un entorn controlat, minimitzant els riscos a nivells acceptables mitjançant l’aplicació adequada de mesures de seguretat, de manera equilibrada i proporcionada a la naturalesa de la informació tractada, dels serveis a prestar i dels riscos als quals estiguin exposats.

Aquesta gestió es durà a terme mitjançant l’anàlisi i tractament dels riscos als quals està exposat el sistema, utilitzant una metodologia reconeguda. Les mesures adoptades per mitigar o suprimir els riscos hauran d’estar justificades i, en tot cas, existirà una proporcionalitat entre aquestes i els riscos.

5.5 Incidents de seguretat, prevenció, detecció, reacció i recuperació

GRUPO LENER disposa de procediments de gestió d’incidents de seguretat d’acord amb els requisits de la norma ISO 27001 i els requisits derivats de la normativa d’aplicació (per exemple, normativa de protecció de dades), i de mecanismes de detecció, criteris de classificació, procediments d’anàlisi i resolució, així com dels canals de comunicació amb les parts interessades.

La seguretat del sistema contemplarà totes les accions relatives als aspectes de prevenció, detecció i resposta, amb l’objectiu de minimitzar les vulnerabilitats i aconseguir que les amenaces no es materialitzin, o que, si ho fan, no afectin greument la informació que es gestiona o els serveis que presta.

Les mesures de prevenció podran incorporar components orientats a la dissuasió o a la reducció de la superfície d’exposició, i han d’eliminar o reduir la possibilitat que les amenaces es materialitzin.

Les mesures de detecció aniran dirigides a descobrir la presència d’un ciberincident.

Les mesures de resposta es gestionaran en temps oportú, i estaran orientades a la restauració de la informació i dels serveis que puguin haver quedat afectats per un incident de seguretat.

El sistema d’informació garantirà la conservació de les dades i informació en suport electrònic.

Igualment, el sistema mantindrà disponibles els serveis durant tot el cicle de vida de la informació digital, a través d’una concepció i procediments que siguin la base per a la preservació del patrimoni digital.

5.6 Existència de línies de defensa i prevenció davant d’altres sistemes d’informació interconnectats

GRUPO LENER ha implementat una estratègia de protecció del sistema d’informació formada per múltiples capes de seguretat, formades per mesures organitzatives, físiques i lògiques, de manera que quan una capa sigui compromesa es pugui desenvolupar una reacció adequada davant els incidents que no s’hagin pogut evitar, reduint la probabilitat que el sistema sigui compromès en el seu conjunt i minimitzant l’impacte final.

Es protegirà el perímetre del sistema d’informació, especialment quan el sistema de l’organització es connecta a xarxes públiques, reforçant les tasques de prevenció, detecció i resposta a incidents de seguretat.

En tot cas, s’analitzaran els riscos derivats de la interconnexió del sistema amb altres sistemes i se’n controlarà el punt d’unió.

5.7 Diferenciació de responsabilitats, organització i implantació del procés de seguretat

GRUPO LENER ha organitzat la seguretat comprometen els membres corresponents de l’organització mitjançant la designació de diferents rols de seguretat amb responsabilitats clarament diferenciades, tal com es recull en l’apartat de “Organització de la seguretat” del present document.

5.8 Autorització i control dels accessos

GRUPO LENER ha implementat mecanismes de control d’accés al sistema d’informació, limitant-lo als usuaris, processos, dispositius i altres sistemes d’informació degudament autoritzats, i exclusivament a les funcions permeses.

5.9 Protecció de les instal·lacions

GRUPO LENER ha implementat mecanismes de control d’accés físic per prevenir accessos físics no autoritzats i danys a la informació i recursos, mitjançant perímetres de seguretat, controls físics i proteccions generals en àrees.

5.10 Adquisició de productes de seguretat i contractació de serveis de seguretat

Per a l’adquisició de productes o la contractació de serveis de seguretat, GRUPO LENER, sempre que sigui possible, tindrà en compte proveïdors que tinguin certificacions en estàndards de seguretat reconeguts, com ISO 27001, ISO 27017, ISO 27018, ISO 22301 i similars.

5.11 Protecció de la informació emmagatzemada i en trànsit i continuïtat de l’activitat

GRUPO LENER prestarà especial atenció a la informació emmagatzemada o en trànsit a través d’equips o dispositius portàtils o mòbils, dispositius perifèrics, suports d’informació i comunicacions sobre xarxes obertes, que han d’analitzar-se especialment per garantir una protecció adequada.

Els sistemes disposaran de còpies de seguretat i s’establiran els mecanismes necessaris per garantir la continuïtat de les operacions en cas de pèrdua dels mitjans habituals.

5.12 Registre d’activitat i detecció de codi maliciós

GRUPO LENER, amb el propòsit de satisfer la normativa aplicable i amb plenes garanties del dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge dels afectats, i d’acord amb la normativa de protecció de dades personals, registrarà les activitats dels usuaris, retenint la informació estrictament necessària per monitoritzar, analitzar, investigar i documentar activitats indegudes o no autoritzades, identificant en cada moment la persona que actua.

A fi de preservar la seguretat dels sistemes d’informació, i de conformitat amb allò disposat al Reglament General de Protecció de Dades i el respecte als principis de limitació de la finalitat, minimització de dades i limitació del termini de conservació, GRUPO LENER podrà, en la mesura estrictament necessària i proporcionada, analitzar les comunicacions entrants o sortints i únicament per a finalitats de seguretat de la informació, de manera que sigui possible impedir l’accés no autoritzat a les xarxes i sistemes d’informació, detenir atacs de denegació de servei, evitar la distribució intencionada de codi maliciós i altres danys a les xarxes i sistemes d’informació esmentats.

Per corregir o exigir responsabilitats, cada usuari que accedeixi al sistema d’informació haurà d’estar identificat de manera única, de forma que se sàpiga en tot moment qui rep drets d’accés, de quin tipus són aquests, i qui ha realitzat una activitat determinada.

6. Organització de la seguretat

6.1 Rols i responsabilitats de Seguretat de la Informació

Per garantir el compliment i l’adaptació de les mesures exigides pel Reial Decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat, s’han creat rols o perfils de seguretat que formaran part del Comitè de Seguretat, i s’han designat els càrrecs o òrgans que els ocuparan, de la manera següent:

  • Responsable d’Informació i Serveis: Responsable de serveis centrals.
  • Responsable de Seguretat de la Informació de l’ENS: Director de TI.
  • Responsable del Sistema de l’ENS: Responsable de Desenvolupament.

La resta de rols i perfils relacionats amb la seguretat de la informació, i les responsabilitats de cadascun, es definiran a través del Manual de Gestió del SGSI de GRUPO LENER.

A continuació, es detallen i s’estableixen les funcions i responsabilitats de cadascun dels rols definits, sobre les quals es traslladarà la informació corresponent a les persones designades, mitjançant un procés formal que requerirà l’acceptació d’aquestes responsabilitats.

Funcions del Responsable de la Informació i dels Serveis

  • Establir i aprovar els requisits de seguretat aplicables al servei i la informació dins el marc establert a l’annex I del Reial Decret 311/2022 i RGPD, podent recaptar una proposta al Responsable de Seguretat ENS i tenint en compte l’opinió del Responsable del Sistema ENS i del Delegat/ada de Protecció de Dades.
  • Informar sobre els drets d’accés al Servei i a la Informació.
  • Acceptar els nivells de risc residual que afecten el Servei i la Informació.
  • Posar en coneixement del Responsable de la Seguretat i del Delegat/ada de Protecció de Dades qualsevol variació relacionada amb la Informació i els Serveis dels quals és responsable.
  • Vetllar per la correcta realització de les seves funcions en el marc de seguretat adequat.
  • Col·laborar en la definició i aprovació de les activitats de tractament de dades personals pròpies de la seva àrea de responsabilitat.
  • Determinar els requisits de seguretat de la informació tractada i dels serveis prestats.
  • Rebre informació sobre els incidents i les actuacions realitzades per a la seva resolució.
  • Efectuar les valoracions a què es refereix l’article 40 de l’ENS (categories de seguretat).
  • Determinar els criteris per assignar i modificar a cada informació el nivell de seguretat requerit, i documentar-ne i aprovar-ne formalment els criteris.

Funcions del Responsable de la Seguretat ENS

  • Mantenir i verificar el nivell adequat de seguretat de la informació gestionada i dels serveis electrònics prestats per els sistemes d’informació.
  • Determinar les decisions necessàries per satisfer els requisits de seguretat de la informació i dels serveis.
  • Determinar les mesures de seguretat aplicables, en funció de les valoracions fetes pels Responsables de la Informació i dels Serveis.
  • Supervisar la implantació de les mesures necessàries per garantir que es compleixen els requisits i informar-ne.
  • Formalitzar i aprovar la Declaració d’Aplicabilitat, incloent les mesures compensatòries o complementàries i la seva correspondència amb les mesures de l’Annex II del Reial Decret.
  • Comprovar que les mesures de seguretat han estat adequadament implantades pel Responsable del Sistema.
  • Determinar la categoria de seguretat del sistema, basant-se en les valoracions dels Responsables de la Informació i del Servei.
  • Promoure la formació i conscienciació en matèria de seguretat de la informació.
  • Promoure la realització de l’anàlisi de riscos.
  • Designar els responsables de l’execució de l’anàlisi de riscos, la declaració d’aplicabilitat i la documentació del sistema.
  • Proporcionar assessorament per determinar la categoria del sistema, en col·laboració amb el Responsable del Sistema i/o el Comitè de Seguretat de la Informació.
  • Participar en l’elaboració i implantació dels plans de millora de la seguretat i, si escau, en els plans de continuïtat.
  • Gestionar les revisions externes o internes del sistema.
  • Gestionar els processos de certificació.
  • Analitzar els informes d’auditoria i presentar les conclusions al Responsable del Sistema i, si escau, al Comitè de Seguretat de la Informació.
  • Elevar al Comitè de Seguretat l’aprovació de canvis i altres requisits del sistema.
  • Aprovar explícitament els canvis que impliquin un risc de nivell ALT abans de la seva implantació.
  • Analitzar els riscos abans del desplegament de sistemes d’intel·ligència artificial i supervisar-ne el desplegament.
  • Participar en l’elaboració i proposta de la Política de Seguretat de la Informació i procediments.
  • Elaborar i proposar per a la seva aprovació les polítiques, normatives i procediments de seguretat adequats i proporcionats.
  • Elaborar i aprovar la Declaració d’Aplicabilitat, atenent els requeriments del Responsable de la Informació i del Servei.

Pel que fa als incidents de seguretat, comptant amb els responsables de l’entitat, de la informació i dels serveis:

  • Constituir el punt de contacte especialitzat per a la coordinació amb el CSIRT de referència, en particular amb el CCNCert o l’INCIBE.
  • Notificar a l’autoritat competent, a través del CSIRT de referència i sense dilació indeguda, els incidents que tinguin efectes pertorbadors en la prestació dels serveis.
  • Rebre, interpretar i aplicar les instruccions i guies procedents de l’Autoritat Competent.
  • Recopilar, preparar i subministrar informació o documentació a l’autoritat competent o al CSIRT de referència.

Informar i coordinar-se amb el/la Delegat/ada de Protecció de Dades per verificar la possible exfiltració de dades i la generació de bretxes de dades personals.

Quan el sistema tracti dades personals, el Responsable de la Seguretat haurà de recollir els requisits de protecció de dades fixats pel responsable o pel encarregat del tractament, amb l’assessorament del DPD, i implementar-los d’acord amb la naturalesa, abast, context i finalitats del sistema i els riscos per als drets i llibertats.

Funcions del Responsable del Sistema ENS

  • Desenvolupar, operar i mantenir el sistema d’informació durant tot el seu cicle de vida.
  • Desenvolupar la implementació de la seguretat al sistema i supervisar l’operació diària del mateix.
  • Definir la topologia i gestió del sistema d’informació, establint criteris d’ús i serveis disponibles.
  • Assegurar que les mesures de seguretat s’integren adequadament.
  • Proporcionar assessorament per determinar la categoria del sistema.
  • Participar en l’elaboració i implantació dels plans de millora i continuïtat.
  • Proposar la suspensió del tractament d’informació o serveis si hi ha deficiències greus de seguretat.
  • Suspensió temporal del tractament de la informació o serveis durant ciberincidents.
  • Adoptar mesures correctores derivades d’auditories.
  • En sistemes d’ALTA categoria, sospendre temporalment operacions si cal.
  • Aplicar les mesures correctores proposades pel Responsable de la Seguretat.

Complir les funcions de l’administrador de seguretat del sistema, que inclouen:

  • Implementació, gestió i manteniment de mesures de seguretat.
  • Gestió, configuració i actualització del hardware i software del sistema.
  • Aplicació dels Procediments Operatius de Seguretat (POS).
  • Informar d’anomalies i vulnerabilitats.
  • Col·laborar en la investigació i resolució d’incidents.
  • Gestió d’autoritzacions i privilegis d’usuari.
  • Comprovació dels controls de seguretat.
  • Aplicació dels procediments aprovats.
  • Verificació de les instal·lacions i modificacions de hardware/software.
  • Monitoratge de l’estat de seguretat mitjançant les eines de gestió d’esdeveniments i auditoria.

6.2 Comitè de Seguretat

Per garantir el compliment dels requisits de la norma ISO 27001 i de l’Esquema Nacional de Seguretat, i establir l’organització de la seguretat de la informació adaptada a les necessitats de l’organització, s’ha constituït un Comitè de Seguretat, compost per diversos responsables i membres de l’empresa, i que disposa de les responsabilitats següents:

  • Informar regularment l’Estat de la Seguretat de la Informació a la Direcció.
  • Promoure la millora contínua del SGSI.
  • Elaborar l’estratègia d’evolució de la seguretat de la informació.
  • Coordinar els esforços de les diferents àrees en seguretat de la informació.
  • Elaborar i revisar la Política de Seguretat de la Informació.
  • Elaborar i elevar la Normativa de Seguretat de la Informació.
  • Definir els requisits de formació i qualificació.
  • Elaborar programes de formació i sensibilització.
  • Monitorar els principals riscos residuals assumits.
  • Monitorar el procés de gestió d’incidents.
  • Promoure auditories periòdiques.
  • Elaborar plans de millora de la seguretat.
  • Prioritzar actuacions en matèria de seguretat.
  • Vetllar perquè la seguretat de la informació s’integri en tots els projectes TIC.
  • Verificar el desenvolupament de procediments i documentació.
  • Resoldre conflictes entre unitats responsables.
  • Atendre sol·licituds de les Administracions Públiques en matèria de Seguretat de la Informació.
  • Assessorar en matèria de seguretat de la informació.

6.3 Composició del Comitè de Seguretat de la Informació

El Comitè de Seguretat està compost pels rols indicats, així com pel Delegat de Protecció de Dades, el Responsable de Compliment Legal i altres representants de direcció segons els temes a tractar.

Atès que el Comitè no és tècnic, haurà de recavar regularment assessorament tècnic mitjançant:

  • Grups de treball especialitzats.
  • Assessorament extern.
  • Formació o intercanvi d’experiències.

El Comitè celebrarà sessions trimestrals a les dependències de GRUPO LENER i generarà actes de reunió amb les decisions adoptades.

El Comitè s’encarregarà també de resoldre conflictes i diferències d’opinió entre rols de seguretat.

7. Dades de caràcter personal

GRUPO LENER només recollirà dades personals adequades, pertinents i no excessives i en relació amb les finalitats per a les quals s’han obtingut. Igualment, adoptarà mesures tècniques i organitzatives per garantir el compliment de la normativa vigent en protecció de dades.

En aplicació del Reglament (UE) 2016/679 (RGPD) i la Llei Orgànica 3/2018, s’han adoptat mesures com l’anàlisi de legitimació jurídica, anàlisi de riscos, avaluació d’impacte quan calgui, registre d’activitats i nomenament del Delegat de Protecció de Dades.

L’organització ha definit procediments, polítiques i mesures necessàries per garantir un compliment efectiu de la normativa.

8. Desenvolupament de la Política de Seguretat de la Informació

El compliment d’aquesta Política de seguretat es duu a terme mitjançant el desenvolupament de documentació que composa les normes i procediments de seguretat associats al compliment de la ISO 27001 i resta de normativa aplicable. Per a la seva organització s’ha definit un procediment de gestió documental que estableix les directrius d’organització, gestió i accés.

La revisió anual i aprovació de la present Política correspon al Comitè de Seguretat.

9. Obligacions del personal

Tots els membres de GRUPO LENER inclosos en l’àmbit de l’ENS quedaran subjectes a aquesta Política de Seguretat. Tot el personal rebrà conscienciació adequada en seguretat de la informació mitjançant formació, comunicacions i bones pràctiques. S’establirà un programa de conscienciació contínua especialment per al personal de nova incorporació.

Les persones responsables de l’ús, operació o administració de sistemes TIC del Departament TIC rebran formació obligatòria per al maneig segur dels sistemes abans d’assumir qualsevol responsabilitat.

10. Terceres parts

Quan GRUPO LENER presti serveis a altres entitats o gestioni informació d’aquestes, se’ls farà partícips d’aquesta Política de seguretat.

GRUPO LENER definirà i aprovarà els canals per a la coordinació de la informació, procediments de reacció davant incidents i altres actuacions de seguretat relacionades amb tercers.

Quan s’utilitzin serveis de tercers o es comuniqui informació a tercers, se’ls informarà d’aquesta Política i de la normativa de seguretat aplicable. Aquestes terceres parts quedaran subjectes a les obligacions establertes i podran desenvolupar procediments operatius propis.

Es garantirà que el personal extern estigui adequadament conscienciat en matèria de seguretat, almenys al mateix nivell establert en aquesta Política.

Quan algun aspecte de la Política no pugui ser complert per una tercera part, s’exigirà un informe del Responsable del SGSI que indiqui els riscos i mesures de tractament.

11. Modificacions i control de versions

Edició Data Realitzat per Aprovat per Modificacions respecte a l’edició anterior
1.0 27/09/2022 Jorge Domingos Comitè de Seguretat Edició inicial
2.0 10/04/2025 Jorge Domingos Comitè de Seguretat Modificacions menors de format. Etiquetatge. Correccions menors. Substitució de LENER ASESORAMIENTO EMPRESARIAL per GRUPO LENER.
3.0 17/11/2025 Jorge Domingos Comitè de Seguretat S’actualitza la Política de Seguretat per assegurar el compliment dels requisits de l’ENS i la definició de responsabilitats derivada del mateix.

Subscriure a la newsletter

Assabenta't de les nostres últimes notícies

Subscriure
Suscribirse a la newsletter
* indicates required

Los datos personales recabados a través de este formulario serán tratados por LENER ASESORAMIENTO EMPRESARIAL, S.L.P. como responsable del tratamiento, con la única finalidad de gestionar el envío de comunicaciones comerciales. Podrá ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, así como cualesquiera otros reconocidos por la normativa vigente, dirigiendo su solicitud al Delegado de Protección de Datos en: privacidad@grupolener.es. Dispone de información completa sobre el tratamiento de sus datos en el siguiente enlace: https://www.lener.es/politica-de-privacidad.

Logo Lener
ISO
Madrid•
Barcelona•
Oviedo•
Valladolid•
Vigo•
Sevilla
Paseo de la Castellana, 23 | 28046 - Madrid | +34 913 912 066
Lener © Tots els drets reservats  |     |   Política de Privacitat  |   Politica de Seguretat  |   Política de Galetes  |   Avís Legal
disseny web: Social Lex & Fontventa