Política de Seguridad de la Información

APROBACIÓN Y ENTRADA EN VIGOR

Texto aprobado el día 28/10/2025 por Responsable de Seguridad y ratificado por la Dirección de la Empresa en misma fecha.

Esta “Política de Seguridad de la Información”, en adelante Política, será efectiva desde su fecha de aprobación y hasta que sea reemplazada por una nueva Política.

INTRODUCCIÓN

Letter Ingenieros S.L. depende de los sistemas TIC (Tecnologías de la Información y las Comunicaciones) para alcanzar sus objetivos estratégicos y operativos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la seguridad de la información tratada o los servicios prestados, y estando siempre protegidos contra las amenazas o los incidentes con potencial para comprometer la confidencialidad, integridad y disponibilidad de la información y los servicios.

Para hacer frente a estas amenazas, se requiere una estrategia de seguridad que se adapte a los cambios en las condiciones del entorno y que garantice la prestación continua de los servicios. Esto implica que todos los departamentos deben aplicar los controles de seguridad establecidos en el Sistema de Gestión de Seguridad de la Información (SGSI) conforme a la norma ISO/IEC 27001:2022, así como realizar un seguimiento continuo de los servicios, monitorizar y analizar las vulnerabilidades identificadas, y preparar una respuesta efectiva a los incidentes de seguridad para garantizar la continuidad de las operaciones.

Por tanto, para Letter Ingenieros S.L., el objetivo del Sistema de Gestión de Seguridad de la Información es garantizar la protección de los activos de información y la prestación continuada de los servicios, actuando preventivamente mediante la evaluación y tratamiento de riesgos, supervisando la actividad diaria para detectar cualquier incidente de seguridad, y reaccionando con presteza para recuperar los servicios lo antes posible, conforme a los requisitos establecidos en la norma ISO/IEC 27001:2022.

PREVENCIÓN

Para que la información y los servicios no se vean perjudicados por incidentes de seguridad, Letter Ingenieros S.L. implementa los controles de seguridad establecidos en el Anexo A de la norma ISO/IEC 27001:2022, así como cualquier otro control adicional que haya identificado como necesario a través de la evaluación de riesgos de seguridad de la información. Estos controles, junto con los roles y responsabilidades de seguridad de todo el personal, están claramente definidos, documentados y comunicados en el marco del Sistema de Gestión de Seguridad de la Información (SGSI).

Para garantizar el cumplimiento de esta política y la eficacia del SGSI, Letter Ingenieros S.L.:

Autoriza formalmente los sistemas de información
Evalúa regularmente la seguridad de la información
Solicita auditorías externas por parte de organismos de certificación independientes, con el fin de obtener una evaluación objetiva del cumplimiento y eficacia del SGSI.

DETECCIÓN

Letter Ingenieros establece controles de operación de sus sistemas de información con el objetivo de detectar anomalías en la prestación de los servicios y actuar en consecuencia mediante la evaluación continua del desempeño del SGSI y la revisión periódica de controles de seguridad.

RESPUESTAS

Letter Ingenieros establecerá las siguientes medidas:

1. - Mecanismos para responder eficazmente a los incidentes de seguridad.
  - Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados, tanto internos como externos, incluyendo comunicaciones con otras organizaciones, proveedores, clientes y autoridades competentes.
  - Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

RECUPERACIÓN

Para garantizar la disponibilidad de los servicios, Letter Ingenieros dispone de los medios y técnicas necesarias que permiten garantizar la recuperación de los servicios más críticos.

MISIÓN DE LETTER INGENIEROS

En Letter Ingenieros nos definimos por el alcance de nuestros servicios y la capacidad de ofrecer soluciones integrales de consultoría energética, desarrolladas directamente en nuestras propias instalaciones.

Uno de nuestros principales rasgos distintivos es la especialización en el diseño de software y en actividades de I+D+i, mediante las cuales ofrecemos soluciones tecnológicas innovadoras y personalizadas, orientadas a las necesidades específicas de cada proyecto y cliente.

Qué hacemos

Ofrecemos un servicio completo que abarca todas las fases del diseño y desarrollo de proyectos. Nos encargamos del diseño, instalación y mantenimiento de software, con el objetivo de optimizar procesos y mejorar la eficiencia operativa de nuestros trabajadores.

Nuestros programas están concebidos para adaptarse a las necesidades reales de los equipos de trabajo, facilitando especialmente la automatización de tareas repetitivas. Para garantizar su correcto funcionamiento a largo plazo, nuestro software se mantiene y actualiza de forma continua, asegurando así un rendimiento óptimo y sostenido.

Nuestra misión

El objetivo de Letter ingenieros es ofrecer soluciones innovadoras y eficientes que optimicen los procesos productivos y garanticen el rendimiento de los sistemas, mejorando los procesos productivos mediante el desarrollo, instalación y mantenimiento de soluciones avanzadas.

Nuestra visión

Nuestra visión es impulsar la eficiencia en el trabajo a través del diseño y desarrollo de soluciones tecnológicas que faciliten la creación y el envío de proyectos de forma ágil, precisa y profesional, convirtiéndonos en un referente en nuestros sectores por la calidad y fiabilidad de nuestros resultados.

Nuestro valor diferencial

En Letter Ingenieros S.L nuestra ventaja competitiva radica en el uso de software propio, que incrementa significativamente nuestra eficiencia frente a la competencia. A esto se suma el desarrollo de herramientas que permiten una automatización casi total de los procesos en los proyectos donde lideramos con solvencia.

PRINCIPIOS BÁSICOS

Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:

Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los directivos de Letter Ingenieros S.L., de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de la organización para conformar un todo coherente y eficaz.
Responsabilidad determinada: Hay unos roles y responsables de seguridad de la información definidos.
Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas TIC, procurando evitar cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas TIC.
Gestión de Riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.
Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.
Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

Letter Ingenieros S.L. establece como objetivos de la seguridad de la información los siguientes:

Garantizar la confidencialidad de la información

Controlar el acceso a la información para evitar accesos no autorizados.
Aplicar mecanismos de cifrado y gestión segura de credenciales.

Asegurar la integridad de los datos y del software

Evitar modificaciones no autorizadas en los datos y el código fuente.
Implementar controles de cambios y auditorías de versiones.

Garantizar la disponibilidad de los sistemas y servicios

Asegurar la continuidad operativa mediante planes de contingencia.
Implementar copias de seguridad y estrategias de recuperación ante desastres.

Asegurar la autenticidad y trazabilidad de las acciones

Garantizar que los usuarios y sistemas sean quienes dicen ser mediante autenticación robusta.
Registrar y monitorizar todas las acciones relevantes en los sistemas.

Cumplir con la normativa vigente y buenas prácticas de seguridad

Asegurar el cumplimiento de la ISO 27001, ISO 9001 y otras normativas aplicables.
Fomentar una cultura de seguridad entre los empleados con formación y concienciación.

Proteger los sistemas frente a amenazas y vulnerabilidades

Implementar medidas de seguridad perimetral y de acceso (firewalls, IDS/IPS, MFA).
Gestionar vulnerabilidades mediante pruebas de seguridad y aplicación de parches.

Mejorar continuamente el sistema de gestión de seguridad

Revisar periódicamente la política de seguridad y los procedimientos.
Evaluar riesgos y establecer medidas de mejora continua en la seguridad.

ALCANCE

Esta Política se aplicará a los sistemas de información de Letter Ingenieros S.L. relacionados con el ejercicio de sus competencias y a todos los usuarios con acceso autorizado a los mismos, sean o no empleados públicos y con independencia de la naturaleza de su relación jurídica con Letter Ingenieros. Todos ellos tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y su Normativa de Seguridad derivada, siendo responsabilidad del Responsable de Seguridad de la Información disponer los medios necesarios para que la información llegue al personal afectado.

MARCO NORMATIVO

El marco normativo en el que se desarrollan las actividades de Letter Ingenieros S.L., y en particular la prestación de sus servicios de ingeniería, consultoría energética y desarrollo de software, está basado en la legislación española y europea relacionada con la seguridad de la información, la protección de datos personales, los sistemas de gestión de calidad, medio ambiente, seguridad laboral y energía, así como los requisitos contractuales específicos de nuestros clientes.

Letter Ingenieros S.L. dispone de un procedimiento documentado para la identificación, evaluación y actualización de requisitos legales, regulatorios y contractuales aplicables a sus actividades y al Sistema de Gestión de Seguridad de la Información (SGSI). Este procedimiento garantiza que la organización mantiene un registro actualizado de todas las obligaciones de cumplimiento.

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Letter Ingenieros S.L., teniendo en cuenta los requisitos establecidos en la norma ISO/IEC 27001:2022 y las mejores prácticas de gestión de seguridad de la información, organiza la seguridad mediante la definición clara de roles, responsabilidades y estructuras de gobierno. Así pues, implementa las siguientes acciones para organizar la seguridad de la información:

Designación de Roles de Seguridad

Se establecen y documentan los siguientes roles con responsabilidades específicas en el SGSI:

Responsable de Seguridad / IT

Coordinador de Seguridad Física y Operativa
Equipo de Soporte y Respuesta a Incidentes
Responsable de Gestión de Servicios y Aplicaciones Críticas
Responsable de Gestión de Identidad y Acceso
Responsable de Protección de Datos (DPD)

Estructura de Gobierno del SGSI

La toma de decisiones en materia de seguridad de la información se estructura de la siguiente manera:

Nivel Estratégico - Dirección:

Aprueba la Política de Seguridad de la Información
Acepta los riesgos residuales formalmente
Aprueba los objetivos de seguridad anuales
Asigna recursos y presupuesto para el SGSI
Realiza la Revisión por la Dirección de forma anual

Nivel Operativo - Responsable de Seguridad / IT:

Gestiona el SGSI día a día
Coordina todos los roles de seguridad
Propone tratamiento de riesgos a la Dirección
Propone objetivos y mejoras a la Dirección
Toma decisiones operativas de seguridad
Reporta a la Dirección sobre el estado del SGSI

Independencia del Responsable de Protección de Datos

El Responsable de Protección de Datos (DPD) es una persona diferente e independiente de los roles técnicos y de seguridad, para garantizar:

Independencia en la supervisión del cumplimiento del RGPD
Objetividad en la evaluación de tratamientos de datos personales
Ausencia de conflictos de interés entre seguridad TI y protección de datos
Acceso directo a la Dirección para reportar sobre protección de datos
Autonomía en la toma de decisiones relacionadas con privacidad

El DPD reporta directamente a la Dirección y no está subordinado al Responsable de Seguridad/IT, aunque ambos roles colaboran estrechamente en la gestión de incidentes que afecten a datos personales.

ROLES Y RESPONSABILIDADES EN EL SGSI

Conforme a los requisitos de ISO/IEC 27001:2022, se establecen los siguientes roles para el Sistema de Gestión de Seguridad de la Información:

RESPONSABLE DE SEGURIDAD / IT

Este rol actúa como Responsable del SGSI y Responsable de Seguridad de la Información, asumiendo la máxima responsabilidad operativa en materia de seguridad. Serán funciones del Responsable de Seguridad.

Responsabilidades:

Coordinar y supervisar todas las acciones relacionadas con la seguridad de la información.
Definir, implementar y mantener el SGSI y los procedimientos de seguridad.
Evaluar y gestionar los riesgos identificados, revisando los análisis y planes de acción.
Actuar como punto de contacto principal para la notificación y resolución de incidentes de seguridad.
Garantizar la actualización y revisión periódica de la documentación de seguridad.

COORDINADOR DE SEGURIDAD FÍSICA Y OPERATIVA

Este rol es responsable de todos los aspectos de seguridad física de las instalaciones y la infraestructura crítica.

Responsabilidades:

Gestionar y supervisar los controles de seguridad física (acceso mediante llave, biométricos, cámaras de seguridad, etc.).
Coordinar acciones en situaciones que afectan la infraestructura física, como fallas de energía o problemas en los SAI.
Supervisar el mantenimiento y funcionamiento de dispositivos críticos (NAS, routers, dispositivos de red).

EQUIPO DE SOPORTE Y RESPUESTA A INCIDENTES

Este equipo actúa como Equipo de Respuesta a Incidentes (ERI) bajo la coordinación del Responsable de Seguridad / IT.

Responsabilidades:

Ejecutar las acciones de contención, análisis y mitigación de incidentes de seguridad conforme al procedimiento establecido.
Recabar y analizar información técnica, incluyendo revisión de logs y configuraciones de sistemas.
Colaborar en la restauración y recuperación de servicios tras un incidente.

RESPONSABLE DE GESTIÓN DE SERVICIOS Y APLICACIONES CRÍTICAS

Este rol es responsable de la seguridad de las aplicaciones y servicios que presta Letter Ingenieros S.L..

Responsabilidades:

Supervisar la configuración y funcionamiento de los servicios en la nube y locales.
Coordinar la implementación de controles de seguridad específicos en cada aplicación.
Asegurar que se realizan las actualizaciones y la aplicación de parches de seguridad de manera oportuna.

RESPONSABLE DE GESTIÓN DE IDENTIDAD Y ACCESO

Este rol es responsable de la gestión centralizada de identidades y el control de accesos a todos los sistemas.

Responsabilidades:

Gestionar el sistema centralizado de autenticación.
Definir políticas de contraseñas, caducidad y complejidad, y evaluar la implementación de autenticación multifactor (MFA).
Registrar y auditar los accesos a los sistemas críticos.

RESPONSABLE DE PROTECCIÓN DE DATOS (DPD)

El DPD es un rol independiente designado conforme al RGPD. Esta persona debe ser diferente del Responsable de Seguridad / IT y de los roles técnicos para garantizar objetividad y ausencia de conflictos de interés.

Responsabilidades:

Informar, asesorar a Letter Ingenieros S.L. sobre obligaciones del RGPD y LOPDGDD y supervisar su cumplimiento.
Actuar como punto de contacto y coordinar la notificación de brechas de datos a la AEPD.
Promover la protección de datos y sensibilizar sobre el tratamiento responsable de datos personales.

Decisiones Estratégicas - Responsabilidad de la DIRECCIÓN

Las siguientes decisiones son aprobadas formalmente por la Dirección:

Política y estrategia: Política de Seguridad de la Información y sus revisiones
Objetivos de seguridad de la información anuales
Alcance del SGSI y sus modificaciones
Estrategia de seguridad de la información

Gestión de riesgos:

Aceptación formal de riesgos residuales
Aprobación del plan de tratamiento de riesgos
Decisiones sobre riesgos de criticidad alta

Cumplimiento:

Aprobación de planes de acción ante no conformidades graves
Decisiones sobre certificación y auditorías externas

Decisiones Operativas - Responsabilidad del RESPONSABLE DE SEGURIDAD / IT

Las siguientes decisiones son tomadas por el Responsable de Seguridad / IT en el ámbito operativo:

Operaciones diarias:

Implementación de controles de seguridad
Asignación de tareas a los roles técnicos
Respuesta a incidentes de seguridad (nivel operativo)
Cambios en configuraciones de seguridad

Gestión de riesgos operativos:

Evaluación inicial de riesgos
Propuesta de controles de mitigación
Seguimiento de controles implementados

Coordinación:

Coordinación entre los diferentes roles de seguridad
Resolución de problemas técnicos operativos
Planificación de actividades de seguridad

Mejora continua:

Propuestas de mejora en procedimientos
Actualización de documentación técnica
Gestión de acciones correctivas menores

COORDINACIÓN Y COMUNICACIÓN

Coordinación entre roles

Reuniones de coordinación operativa:

Periodicidad: según necesidad
Formato: Informal, sin actas obligatorias
Participantes: Responsable de Seguridad / IT + roles técnicos necesarios
Objetivo: Coordinar operaciones diarias, resolver problemas técnicos, planificar actividades

Reunión de análisis de incidentes:

Periodicidad: Mensual
Participantes: Responsable de Seguridad / IT + Equipo de Respuesta a Incidentes
Objetivo: Revisar incidentes del mes, identificar tendencias, proponer mejoras

Reuniones extraordinarias:

Cuándo: Incidentes graves, cambios importantes, decisiones críticas
Quién convoca: Responsable de Seguridad / IT o Dirección
Participantes: Los roles relevantes para la decisión

Comunicación y reporte

Comunicación ascendente (hacia Dirección):

Responsable de Seguridad / IT reporta a Dirección sobre:
- Estado del SGSI
- Incidentes graves de seguridad (inmediato)
- Propuestas de mejora que requieran inversión
- Riesgos significativos identificados
- Preparación de la Revisión por la Dirección (anual)

Responsable de Protección de Datos (DPD) reporta a Dirección sobre:

- Cumplimiento RGPD

- Brechas de datos personales

- Inspecciones o requerimientos AEPD

Comunicación descendente (desde Dirección):

Dirección comunica a todos los roles:
- Decisiones estratégicas sobre seguridad
- Política de Seguridad y actualizaciones
- Objetivos de seguridad aprobados

Comunicación horizontal (entre roles):

Los roles técnicos se coordinan directamente para:
- Resolver problemas operativos del día a día
- Compartir información sobre amenazas y vulnerabilidades
- Coordinar actuaciones técnicas
- Colaborar en la respuesta a incidentes

Comunicación en crisis (incidentes graves):

Canal de emergencia: Teléfono
Activación inmediata del Equipo de Respuesta a Incidentes
Notificación al Responsable de Seguridad / IT (inmediato)
Escalado a Dirección si el incidente es crítico
Coordinación con DPD si afecta a datos personales

EQUIPO DE RESPUESTA A INCIDENTES (ERI)

Composición del ERI

El Equipo de Respuesta a Incidentes (ERI) está compuesto por los siguientes roles:

Responsable de Seguridad / IT: Coordina respuesta, clasifica incidentes, toma decisiones operativas, comunica a Dirección si es necesario

Equipo de Soporte y Respuesta a Incidentes: Contención, erradicación, análisis forense, recuperación técnica

Responsable de Gestión de Servicios y Aplicaciones Críticas: Evalua impacto en aplicaciones, coordina recuperación de servicios específicos

Responsable de Gestión de Identidad y Acceso: Bloquea cuentas comprometidas, revisa accesos anómalos, gestiona certificados comprometidos

Responsable de Protección de Datos: (se incorpora si el incidente afecta a datos personales) Evalua si hay brecha de datos personales, coordina notificación a AEPD si procede, documenta brecha RGPD

Procedimiento de Respuesta

El ERI sigue el procedimiento de 6 fases + lecciones aprendidas:

Detección - SIEM, IDS/IPS, logs, alertas, reporte de usuarios

Notificación - Activación del ERI, comunicación inicial

Análisis - Clasificación, evaluación de impacto, identificación de causa raíz

Contención - Aislar sistemas afectados, limitar propagación

Erradicación - Eliminar causa raíz, cerrar vulnerabilidades

Recuperación - Restaurar servicios, validar operación normal

Lecciones aprendidas - Análisis post-incidente, propuestas de mejora

Escalado de Incidentes

Incidentes BAJOS/MEDIOS:

Gestión por el ERI bajo coordinación del Responsable de Seguridad / IT
Información a Dirección en el informe mensual

Incidentes ALTOS:

Notificación al Responsable de Seguridad / IT (inmediato)
Información a Dirección (24-48 horas)
Evaluación de comunicación a partes interesadas

Formación Continua del Equipo

Dado que en nuestra empresa también desarrollamos aplicaciones informáticas para uso propio, la formación continua debe centrarse en las siguientes áreas:

Simulacros de ciber Incidentes: Aunque el equipo es reducido, se deben realizar simulacros de incidentes para evaluar la capacidad de respuesta del ERI. Estos ejercicios pueden involucrar escenarios como phising, intrusión en el sistema, una vulnerabilidad de SQL injection, o la pérdida de datos personales.
Actualización sobre Amenazas Emergentes: El equipo debe mantenerse al día con las últimas amenazas y vulnerabilidades que podrían afectar a las aplicaciones, como vulnerabilidades en frameworks o tecnologías utilizadas en el desarrollo de las aplicaciones.
Cumplimiento de Normativas: El equipo debe recibir formación sobre las normativas relevantes, especialmente en relación con el RGPD y las mejores prácticas de seguridad para el desarrollo de aplicaciones.

Recursos y Herramientas Necesarias

Aunque el equipo es pequeño, se deben identificar las herramientas y recursos esenciales para gestionar los ciber incidentes de manera eficiente:

Herramientas de Monitoreo y Detección: El equipo debe contar con herramientas que permitan detectar anomalías y amenazas en las aplicaciones y los sistemas. Ejemplos incluyen herramientas de análisis de logs y monitoreo de redes internas.
Herramientas de Respuesta y Contención: El equipo debe tener acceso a herramientas que permitan responder rápidamente a los incidentes, como firewalls, sistemas de prevención de intrusos (IPS) y plataformas de gestión de incidentes.
Recursos Humanos y Soporte: Aunque el equipo es pequeño, es importante contar con recursos adicionales si el incidente lo requiere. Esto puede incluir el soporte de expertos externos en áreas específicas como forense digital o análisis de malware.

DATOS PERSONALES

Letter Ingenieros S.L. solo recogerá y tratará datos personales cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos.

OBLIGACIONES DEL PERSONAL

Todo el personal de Letter Ingenieros S.L. comprendido dentro del ámbito de la ISO 27001:2022, atenderá a una o varias sesiones de concienciación en materia de seguridad y protección de datos, al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todo el personal, en particular al de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas de información recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

GESTIÓN DE RIESGOS

Todos los sistemas afectados por la presente Política de Seguridad de la Información están sujetos a un análisis de riesgos con el objetivo de evaluar las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

Al menos una vez al año.
Cuando cambien la información y/o los servicios manejados de manera significativa.
Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.

El Responsable de Seguridad / IT será el encargado de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento de la Dirección.

La Dirección garantizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones cuando sea necesario.

El proceso de gestión de riesgos comprenderá las siguientes fases:

Evaluación de riesgos: Identificación de amenazas, vulnerabilidades y consecuencias potenciales
Análisis de riesgos: Valoración del impacto y probabilidad de ocurrencia
Tratamiento de riesgos: El Responsable de Seguridad / IT propondrá controles de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificados. La Dirección aprobará el tratamiento y aceptará formalmente los riesgos residuales.

Las fases de este proceso se realizarán según lo dispuesto en la norma ISO/IEC 27001:2022, y siguiendo las mejores prácticas de gestión de riesgos.

En particular, para realizar el análisis de riesgos, como norma general se utilizará una metodología reconocida de análisis y gestión de riesgos.

NOTIFICACIÓN DE INCIDENTES

De conformidad con lo dispuesto en el artículo 36 del RD 3/2010, de 8 de enero, Letter Ingenieros S.L. notificará al Centro Criptológico Nacional aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados en relación con la categorización de sistemas recogida en el Anexo I de dicho cuerpo legal.

DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La presente Política de Seguridad de la Información será complementada por medio de diversa normativa y recomendaciones de seguridad (normativas y procedimientos de seguridad, procedimientos técnicos de seguridad, informes, registros y evidencias electrónicas). Corresponde al Responsable de Seguridad de la Información su revisión anual y/o mantenimiento, proponiendo, en caso de que sea necesario mejoras a la misma.

Corresponde al órgano superior del Letter Ingenieros S.L. la aprobación de la Política de Seguridad de la Información y la Normativa de Seguridad de la Información de Letter Ingenieros S.L., siendo el Responsable de Seguridad de la Información el órgano responsable de la aprobación de los restantes documentos, siendo también responsable de su difusión para que la conozcan las partes afectadas.

Del mismo modo, la presente Política de Seguridad de la Información complementa la Política de Privacidad de Letter Ingenieros S.L. en materia de protección de datos.

La normativa de seguridad de la Información y, muy especialmente, la Política de seguridad de la Información, será conocida y estará a disposición de todos los miembros de la ENTIDAD/ES, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

GESTIÓN DE LA DOCUMENTACIÓN DEL SGSI

Repositorio documental

La documentación del Sistema de Gestión de Seguridad de la Información (SGSI) se almacena de forma centralizada en “10 DOCUMENTACION GENERAL/04 CALIDAD/ISO 27001” en uno de los NAS de la organización, incluyendo políticas, procedimientos, evaluaciones de riesgos, registros de auditorías, incidentes y formación.

Control de documentos

Todos los documentos están sujetos a:

Creación: El Responsable de Seguridad / IT coordina la elaboración de documentos del SGSI
Revisión y aprobación:
- La Dirección aprueba documentos estratégicos (Política, Objetivos, Alcance, Aceptación de riesgos)
- El Responsable de Seguridad / IT aprueba documentos operativos (Procedimientos, guías técnicas, registros)
Control de versiones: Los documentos incluyen número de versión, fecha y registro de cambios
Distribución: Los documentos se distribuyen solo a personal autorizado según su clasificación
Actualización: Los documentos se revisan al menos anualmente o cuando sea necesario
Conservación: Los documentos se conservan durante el ciclo de certificación (mínimo 3 años)

Clasificación y Acceso

Los documentos del SGSI se clasifican según su sensibilidad y el acceso se gestiona mediante permisos en el servidor según el principio de mínimo privilegio.

Responsabilidades

Responsable de Seguridad / IT: Mantener actualizada la documentación del SGSI, controlar versiones, gestionar permisos de acceso y coordinar revisiones anuales.

Dirección: Aprobar documentos estratégicos del SGSI y cambios significativos en políticas.

Todos los empleados: Respetar la clasificación de los documentos, no divulgarlos sin autorización y reportar documentos obsoletos o inexactos.

TERCERAS PARTES

Cuando Letter Ingenieros S.L. utilice servicios de terceros o ceda información a terceros, se les hará participe de esta Política de Seguridad y de la normativa de seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad.

Cuando algún aspecto de esta Política de Seguridad de la Información no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

En el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) para la seguridad de la información tratada y el servicio prestado, que cuente con el apoyo de los órganos de dirección, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de dicho servicio.

MEJORA CONTINUA

La gestión de la seguridad de la información es un proceso sujeto a permanente actualización. Los cambios en la organización, las amenazas, las tecnologías y/o la legislación son un ejemplo en los que es necesaria una mejora continua de los sistemas. Por ello, es necesario implantar un proceso permanente que comportará, entre otras acciones:

Revisión de la Política de Seguridad de la Información.
Revisión de los servicios de información y su categorización.
Ejecución con periodicidad anual del análisis de riesgos.
Realización de auditorías internas o, cuando procedan, externas.
Revisión de las medidas de seguridad.
Revisión y actualización de las normas y procedimientos.

Cookie	Duración	Descripción
_GRECAPTCHA	6 months	El servicio Google Recaptcha establece esta cookie para identificar bots y proteger el sitio web contra ataques maliciosos de spam.
cookielawinfo-checkbox-advertisement	1 year	Establecida por el plugin GDPR Cookie Consent, esta cookie registra el consentimiento del usuario para las cookies de la categoría «Publicidad».
cookielawinfo-checkbox-analiticas	1 year	CookieSí configura esta cookie para almacenar el consentimiento del usuario para las cookies de la categoría «Analytics».
cookielawinfo-checkbox-funcionales	1 year	Establecido por el plugin GDPR Cookie Consent para almacenar el consentimiento del usuario para las cookies de la categoría «Funcional».
cookielawinfo-checkbox-publicitarias	1 year	Establecido por el plugin GDPR Cookie Consent para almacenar el consentimiento del usuario para las cookies de la categoría «Publicidad».
cookielawinfo-checkbox-rendimiento	1 year	Establecido por el plugin GDPR Cookie Consent para registrar el consentimiento del usuario para las cookies de la categoría «Rendimiento» .
CookieLawInfoConsent	1 year	CookieYes establece esta cookie para registrar el estado del botón predeterminado de la categoría correspondiente y el estado de CCPA. Solo funciona en coordinación con la cookie principal.
rc::a	never	Esta cookie la instala el servicio recaptcha de Google para identificar bots y proteger el sitio web contra ataques maliciosos de spam.
rc::b	session	Esta cookie la instala el servicio recaptcha de Google para identificar bots y proteger el sitio web contra ataques maliciosos de spam.
rc::c	session	Esta cookie la instala el servicio recaptcha de Google para identificar bots y proteger el sitio web contra ataques maliciosos de spam.
rc::f	never	Esta cookie la instala el servicio recaptcha de Google para identificar bots y proteger el sitio web contra ataques maliciosos de spam.

Cookie	Duración	Descripción
cookielawinfo-checkbox-necesarias	1 year	La descripción no está disponible actualmente.
cookielawinfo-checkbox-otras	1 year	La descripción no está disponible actualmente.

Cookie	Duración	Descripción
_GRECAPTCHA	6 months	El servicio Google Recaptcha establece esta cookie para identificar bots y proteger el sitio web contra ataques maliciosos de spam.
cookielawinfo-checkbox-advertisement	1 year	Establecida por el plugin GDPR Cookie Consent, esta cookie registra el consentimiento del usuario para las cookies de la categoría «Publicidad».
cookielawinfo-checkbox-analiticas	1 year	CookieSí configura esta cookie para almacenar el consentimiento del usuario para las cookies de la categoría «Analytics».
cookielawinfo-checkbox-funcionales	1 year	Establecido por el plugin GDPR Cookie Consent para almacenar el consentimiento del usuario para las cookies de la categoría «Funcional».
cookielawinfo-checkbox-publicitarias	1 year	Establecido por el plugin GDPR Cookie Consent para almacenar el consentimiento del usuario para las cookies de la categoría «Publicidad».
cookielawinfo-checkbox-rendimiento	1 year	Establecido por el plugin GDPR Cookie Consent para registrar el consentimiento del usuario para las cookies de la categoría «Rendimiento» .
CookieLawInfoConsent	1 year	CookieYes establece esta cookie para registrar el estado del botón predeterminado de la categoría correspondiente y el estado de CCPA. Solo funciona en coordinación con la cookie principal.
rc::a	never	Esta cookie la instala el servicio recaptcha de Google para identificar bots y proteger el sitio web contra ataques maliciosos de spam.
rc::b	session	Esta cookie la instala el servicio recaptcha de Google para identificar bots y proteger el sitio web contra ataques maliciosos de spam.
rc::c	session	Esta cookie la instala el servicio recaptcha de Google para identificar bots y proteger el sitio web contra ataques maliciosos de spam.
rc::f	never	Esta cookie la instala el servicio recaptcha de Google para identificar bots y proteger el sitio web contra ataques maliciosos de spam.

Cookie	Duración	Descripción
cookielawinfo-checkbox-necesarias	1 year	La descripción no está disponible actualmente.
cookielawinfo-checkbox-otras	1 year	La descripción no está disponible actualmente.