Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Política de Seguridad de la Información

Introducción

En TechConsulting consideramos la información como un activo esencial para el desarrollo de nuestra actividad y la confianza de nuestros clientes. La seguridad de la información es un elemento crítico para garantizar la calidad, la continuidad y la fiabilidad de los servicios que prestamos en el ámbito tecnológico y de la ciberseguridad.

Nuestra organización entiende la Seguridad de la Información como una responsabilidad compartida, integrada en todos los procesos y decisiones. La legislación y las exigencias normativas actuales —en especial el Esquema Nacional de Seguridad (ENS)— nos impulsan a mantener un entorno seguro, resiliente y en mejora continua.

Compromiso

TechConsulting ha implantado un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a los requisitos del Esquema Nacional de Seguridad (ENS) – Nivel Medio, garantizando la protección de los sistemas TIC frente a amenazas que puedan afectar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

Nuestro compromiso se centra en:

  • Proteger los activos de información propios y de nuestros clientes.
  • Cumplir con las obligaciones legales, contractuales y normativas aplicables.
  • Promover una cultura de seguridad y concienciación en todo el personal.
  • Detectar, responder y recuperarse eficazmente ante incidentes de seguridad.
  • Revisar periódicamente los controles y medidas de seguridad implantadas.

Objetivos de Seguridad

El objetivo de esta política es establecer los principios y directrices que rigen la seguridad de la información en TechConsulting:

  • Garantizar la continuidad de los servicios críticos.
  • Mantener la protección de la información frente a accesos no autorizados o manipulaciones.
  • Aplicar las medidas mínimas del ENS y controles adicionales basados en análisis de riesgos.
  • Evaluar y supervisar continuamente la eficacia de las medidas de seguridad.
  • Fomentar la formación y sensibilización de todo el personal en materia de seguridad TIC.

Organización de la Seguridad

La gestión de la seguridad de la información en TechConsulting se basa en la proporcionalidad, simplicidad y eficacia operativa, de acuerdo con lo establecido en el Esquema Nacional de Seguridad (ENS).

Dado el tamaño y estructura de la empresa, la función de gobierno y control de la seguridad se concentra en un Comité de Seguridad TIC reducido, responsable de garantizar la adecuada implantación, supervisión y mejora del SGSI.

Composición del Comité de Seguridad TIC

  • Gerente / Representante de Dirección:
    • Responsable máximo de la seguridad de la información.
    • Aprueba la Política de Seguridad, los planes de mejora y los informes de auditoría.
    • Decide las prioridades estratégicas y los recursos destinados a seguridad.
  • Responsable de Seguridad (CISO):
    • Coordina las medidas técnicas y organizativas de seguridad.
    • Supervisa el cumplimiento del ENS y la respuesta ante incidentes.
    • Mantiene actualizada la documentación del SGSI.
    • Asesora a la dirección y al equipo técnico en materia de ciberseguridad.
    • En TechConsulting, este rol puede ser desempeñado por el gerente o por uno de los técnicos de ciberseguridad, según el proyecto.
  • Técnicos de Ciberseguridad:
    • Ejecutan las medidas operativas de seguridad (monitorización, control de accesos, hardening, respuesta a incidentes, copias de seguridad, etc.).
    • Colaboran en la detección, análisis y mitigación de vulnerabilidades.
    • Apoyan en auditorías y revisiones técnicas de seguridad.
  • Delegado de Protección de Datos (DPD):
    • Asesora sobre el cumplimiento del RGPD y la LOPDGDD.
    • Supervisa las obligaciones legales en materia de protección de datos.
    • Actúa como punto de contacto con la AEPD y otras autoridades competentes.

Funciones del Comité de Seguridad TIC

  • Definir, aprobar y revisar la Política de Seguridad de la Información.
  • Coordinar y supervisar la implantación de medidas exigidas por el ENS.
  • Revisar los riesgos y proponer medidas de mitigación.
  • Analizar los incidentes de seguridad y definir acciones correctoras.
  • Promover la formación y concienciación en seguridad entre los empleados.
  • Evaluar la eficacia de las medidas y fomentar la mejora continua.

Reuniones y seguimiento

El Comité se reunirá al menos una vez al año, o cuando ocurra alguno de los siguientes eventos:

  • Cambios significativos en los sistemas o servicios TIC.
  • Aparición de vulnerabilidades críticas o incidentes relevantes.
  • Solicitud de revisión por parte de la dirección o auditoría externa.

De cada reunión se elaborará un acta de seguimiento con los acuerdos y acciones a realizar.

Prevención, Detección y Respuesta

TechConsulting aplica medidas preventivas basadas en el análisis de riesgos y realiza un seguimiento continuo del funcionamiento de los sistemas.

  • Prevención: se implantan las medidas mínimas exigidas por el ENS y controles adicionales según el contexto.
  • Detección: los servicios son monitorizados para identificar anomalías o incidentes.
  • Respuesta y recuperación: se dispone de protocolos de actuación ante incidentes, incluyendo comunicación con el CCN-CERT o CSIRT de referencia, y planes de continuidad y recuperación de servicios críticos.

Alcance

Esta política aplica a todos los sistemas de información, infraestructuras, redes, aplicaciones, procesos y servicios gestionados por TechConsulting, así como a todas las personas con acceso a dicha información, sean empleados, colaboradores o proveedores.

Referencias Normativas

  • Esquema Nacional de Seguridad (ENS) – Nivel Medio
  • Guía CCN-STIC (Serie 800) del Centro Criptológico Nacional.
  • Perfil de Cumplimiento Específico CCN-STIC 892 – en proceso de actulización a efectos de NIS2.
  • Reglamento (UE) 2016/679 (RGPD) y Ley Orgánica 3/2018 (LOPDGDD).

  • Otras obligaciones legales de ciberseguridad aplicables según el sector o actividad.

Mejora Continua

La presente política será revisada de forma anual o cuando se produzcan cambios significativos en la organización, los servicios o el marco normativo. Su actualización y aprobación corresponde al Comité de Seguridad TIC y a la Dirección de TechConsulting.

Aprobación y Entrada en Vigor

Esta Política de Seguridad de la Información fue aprobada por la Dirección de TechConsulting el 06 de marzo de 2025, y se encuentra vigente hasta su revisión o sustitución por una nueva versión.